.NET Core验证ASP.NET密码

.NET Core验证ASP.NET密码

随着 .NETCore的持续更新和完善,越来越多的机构已经选择或者升级为 .NETCore。但由于技术不完全相同,不可能所有应用/数据库都能无缝迁移,因此 ASP.NETCore和传统 ASP.NET之间多少会存在一些挑战,需要更多的渐进升级方法和交互。

其中,密码共享就是升级到 ASP.NETCore一个很容易想到的渐进升级方式,也是一个需要解决的问题。

啥?什么都不用做?

其实如果坚持走 ASP.NETCoreIdentity这一套,代码是写了一个 if/else,能兼容老 ASP.NETIdentity生成的密码的。 Github链接:https://github.com/dotnet/aspnetcore/blob/8b7f6621695d93b2a55fb8a5b1be99c4af867ae4/src/Identity/Extensions.Core/src/PasswordHasher.cs#L185-L207,核心代码如下:

/// <summary>
/// Returns a <see cref="PasswordVerificationResult"/> indicating the result of a password hash comparison.
/// </summary>
/// <param name="user">The user whose password should be verified.</param>
/// <param name="hashedPassword">The hash value for a user's stored password.</param>
/// <param name="providedPassword">The password supplied for comparison.</param>
/// <returns>A <see cref="PasswordVerificationResult"/> indicating the result of a password hash comparison.</returns>
/// <remarks>Implementations of this method should be time consistent.</remarks>
public virtual PasswordVerificationResult VerifyHashedPassword(TUser user, string hashedPassword, string providedPassword)
{if (hashedPassword == null){throw new ArgumentNullException(nameof(hashedPassword));}if (providedPassword == null){throw new ArgumentNullException(nameof(providedPassword));}byte[] decodedHashedPassword = Convert.FromBase64String(hashedPassword);// read the format marker from the hashed passwordif (decodedHashedPassword.Length == 0){return PasswordVerificationResult.Failed;}switch (decodedHashedPassword[0]){case 0x00:if (VerifyHashedPasswordV2(decodedHashedPassword, providedPassword)){// This is an old password hash format - the caller needs to rehash if we're not running in an older compat mode.return (_compatibilityMode == PasswordHasherCompatibilityMode.IdentityV3)? PasswordVerificationResult.SuccessRehashNeeded: PasswordVerificationResult.Success;}else{return PasswordVerificationResult.Failed;}case 0x01:int embeddedIterCount;if (VerifyHashedPasswordV3(decodedHashedPassword, providedPassword, out embeddedIterCount)){// If this hasher was configured with a higher iteration count, change the entry now.return (embeddedIterCount < _iterCount)? PasswordVerificationResult.SuccessRehashNeeded: PasswordVerificationResult.Success;}else{return PasswordVerificationResult.Failed;}default:return PasswordVerificationResult.Failed; // unknown format marker}
}

它根据 Base64解码后的第一个字节,来判断是老版本还是新版本,然后调用各自不同的验证函数。

但时代在变化,很多人已经不用官方提供的这一套 Identity验证密码,那么有什么“骚”操作,可以解密吗?

和密码刚正面

传统的 ASP.NET MVC模板项目是通过 ASP.NETIdentity管理的密码,它由 Rfc2898DeriveBytes实现,该算法进行了 1000次循环 SHA1哈希、并加盐,以确保难以通过传统的哈希碰撞来确保密码的安全性,其核心代码如下( Github链接:https://github.com/aspnet/AspNetIdentity/blob/9c48993a446288032f9824633e6dae81257da06e/src/Microsoft.AspNet.Identity.Core/Crypto.cs#L26-L46):

private const int PBKDF2IterCount = 1000; // default for Rfc2898DeriveBytes
private const int PBKDF2SubkeyLength = 256/8; // 256 bits
private const int SaltSize = 128/8; // 128 bits
/* =======================
*  HASHED PASSWORD FORMATS
*  =======================
*
*  Version 0:
*  PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.
*  (See also: SDL crypto guidelines v5.1, Part III)
*  Format: { 0x00, salt, subkey }
*/
public static string HashPassword(string password)
{if (password == null){throw new ArgumentNullException("password");}// Produce a version 0 (see comment above) text hash.byte[] salt;byte[] subkey;using (var deriveBytes = new Rfc2898DeriveBytes(password, SaltSize, PBKDF2IterCount)){salt = deriveBytes.Salt;subkey = deriveBytes.GetBytes(PBKDF2SubkeyLength);}var outputBytes = new byte[1 + SaltSize + PBKDF2SubkeyLength];Buffer.BlockCopy(salt, 0, outputBytes, 1, SaltSize);Buffer.BlockCopy(subkey, 0, outputBytes, 1 + SaltSize, PBKDF2SubkeyLength);return Convert.ToBase64String(outputBytes);
}

值得一提的是,代码用到了 Rfc2898DeriveBytes,经常读我的博客的知道,这个类是老朋友了,通过传入明文密码、盐、迭代次数和算法,可以在不依赖于哈希算法安全性的前提下做单向加密,确保了密码的不可(难以)破解性。

可见,密码的原始字节由 {0,salt,subkey}三部分组成,其中盐为 128位,即 16字节, subkey为 256位,即 32字节,总共 1+16+32=49字节,密文需要转换为 Base64,根据 Base64的信息量计算公式

Math.Log(64, 256)=0.75

可知, Base64编码相对原始字节的比例为 0.75:1,因此计算可得转换为 Base64之后,其字符串长度为

Math.Ceiling(49 / 0.75 / 4) * 4 = 68

我们来从数据库随便查询一个由 ASP.NETIdentity创建的密码:

SELECT TOP 1 PasswordHash, LEN(PasswordHash) AS Len 
FROM [User]

结果如下,可见结果长度真的为 68: 

所以,说了这么多,怎么把密码迁移到 ASP.NETCore呢?

注意看,上面的代码没什么特别,就是依赖于 Rfc2898DeriveBytes这个类。

.NETCore内置了 Rfc2898DeriveBytes这个类,可以直接使用,不需要安装任何 NuGet包,因此……直接复制粘贴上文中的【核心代码】即可。

ASP.NETCore中的 Identity有什么区别?

Github核心代码在此:https://github.com/dotnet/aspnetcore/blob/8b7f6621695d93b2a55fb8a5b1be99c4af867ae4/src/Identity/Extensions.Core/src/PasswordHasher.cs#L113-L156

我就从简引用一下关键注释:

/* =======================
*  HASHED PASSWORD FORMATS
*  =======================
*
*  Version 2:
*  PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.
*  (See also: SDL crypto guidelines v5.1, Part III)
*  Format: { 0x00, salt, subkey }
*
*  Version 3:
*  PBKDF2 with HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 iterations.
*  Format: { 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
*  (All UInt32s are stored big-endian.)
*/

原来,老 ASP.NETIdentity中的密码版本为 V2,当前 ASP.NETCoreIdentity中的密码版本为 V3,首字节(版本号)从 0x00改成了 0x01,算法从 HMACSHA1升级为了 HMACSHA256,另外 V3版本还将迭代次数从 1000升级为 10000,另外还将算法名、迭代次数、盐的长度信息保存在了密码中。

另外需要注意的是,新 ASP.NETCoreIdentity的实现很有弹性,它通过依赖注入 IOptions<T>的形式,使得所有选项都是可以配置的。

解密示例

假如我有一个密码: myF&TB9vhTx7,我使用传统的 ASP.NET MVC创建项目,然后用这个密码注册一个帐号: 

然后在数据库中将哈希值取出来:

SELECT PasswordHash
FROM [AspNetUsers]
WHERE [Email] = N'sdflysha@qq.com'

查得结果如下,结果为 AJRvdJ1/Ii+58zU6yBrPJH4hCkMagxqK/W6oejAuG1hIrNPEQMAAyYynsXWwat9Huw==: 

我将上述代码作简化,用最简单的代码表达验证密码的过程,除去两行注释代码(用于做断言),整个过程只需7行代码,代码如下:

string pwdHashText = "AJRvdJ1/Ii+58zU6yBrPJH4hCkMagxqK/W6oejAuG1hIrNPEQMAAyYynsXWwat9Huw==";
string pwd = "myF&TB9vhTx7";
byte[] pwdHash = Convert.FromBase64String(pwdHashText);
// Debug.Assert(pwdHash.Length == 49);
// Debug.Assert(pwdHash[0] == 0);
byte[] salt = pwdHash[1..17];
byte[] hash = pwdHash[17..49];
using var r = new Rfc2898DeriveBytes(pwd, salt, 1000);
Console.WriteLine(r.GetBytes(32).SequenceEqual(hash));

此时,运行结果如下,运行显示 True,表示验证解码成功: 

总结

我总结一个表格如下所示:


ASP.NETIdentityASP.NETCoreIdentity
版本V2V3
首字节0x000x01
默认算法HMACSHA1HMACSHA256
迭代次数100010000
密码信息版本+盐+哈希值版本+算法+迭代次数+盐长度+盐+哈希值
原始长度1+16+32=491+4+4+4+16+32=61
Base64长度6884
可配置性不可配置可自由配置
安全性非常好

密码解密其实是前往 ASP.NETCore上较为轻松的一步,核心代码也就 7行。

其实更有挑战、也更有意思的是如何解传统 ASP.NETIdentity中的 Cookie,我将在下一篇中详情分析这个主题,敬请期待!

喜欢的朋友请关注我的微信公众号:【DotNet骚操作】

新年快到了,祝大家阖家欢乐,鼠年大吉!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/312152.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux下I2C驱动发送IO时序,I2C驱动情景分析——怎样控制I2C时序

内核版本&#xff1a;linux-3.4.2源程序&#xff1a; linux-3.4.2\drivers\i2c\busses\I2c-s3c2410.c这次要解决的问题是&#xff1a;如何配置soc的I2C模块&#xff0c;输出想要的时序波形&#xff1f;关于Linux里I2C驱动的架构&#xff0c;在转载的文章讲得相当透彻(《linu…

蓝桥杯2017初赛-外星日历-数论

题目描述 某星系深处发现了文明遗迹。他们的计数也是用十进制。 他们的文明也有日历。日历只有天数&#xff0c;没有年、月的概念。 有趣的是&#xff0c;他们也使用了类似“星期”的概念&#xff0c;只不过他们的一个星期包含了9天&#xff0c;为了方便&#xff0c;这里分别记…

ubuntu14.04安装linux公社,Ubuntu 14.04下安装IT++

Ubuntu 14.04 下安装 IT(itpp)(官方二进制包安装版)温馨提示&#xff1a;虽然没有尝试&#xff0c;不过直接运行最后一步应该也可以成功。另外&#xff0c;既然有简单的方法&#xff0c;不到破不得以还是不要尝试麻烦的方法了。1、安装 FFTW3sudo apt-get install libfftw3-dev…

.NET CORE(C#) WPF 值得推荐的动画菜单设计

微信公众号&#xff1a;Dotnet9&#xff0c;网站&#xff1a;Dotnet9&#xff0c;问题或建议&#xff1a;请网站留言&#xff0c; 如果对您有所帮助&#xff1a;欢迎赞赏。.NET CORE(C#) WPF 值得推荐的动画菜单设计阅读导航本文背景代码实现本文参考源码1. 本文背景YouTube上老…

蓝桥杯2017初赛-k倍区间-前缀和

题目描述 给定一个长度为N的数列&#xff0c;A1, A2, … AN。 如果其中一段连续的子序列Ai, Ai1, … Aj(i < j)之和是K的倍数&#xff0c;我们就称这个区间[i, j]是K倍区间。 你能求出数列中总共有多少个K倍区间吗&#xff1f; 输入 第一行包含两个整数N和K。(1 < N, K …

【在路上3】大数据离线分析快递的派件时效

【在路上1】快递物流大数据的由来【在路上2】快递的运单轨迹几乎人人都用过快递&#xff0c;如果说用户最在意什么&#xff1f;那必然是谁家送得快&#xff01;这也是整个快递物流行业被诟病最多的地方。都知道顺丰送得快&#xff0c;但价格摆在那里&#xff0c;且它的市场份额…

DevExpress作为企业赞助商加入.NET基金会

.NET基金会是一个独立的非营利组织&#xff0c;于2014年成立&#xff0c;旨在围绕 .NET 不断增长的开源技术集合&#xff0c;促进开放开发和协作。它是商业和社区开发人员的论坛&#xff0c;通过促进开放性&#xff0c;社区参与和快速创新来增强.NET生态系统的未来。要使.NET 基…

如何快速融入团队(八)

作者&#xff1a;邹溪源&#xff0c;长沙资深互联网从业者&#xff0c;架构师社区特邀嘉宾&#xff01;一感慨时间流逝&#xff0c;韶华易老似乎是我们与生俱来的焦虑&#xff0c;仿佛每当过年的时候总会感觉&#xff0c;呀&#xff0c;我这一年似乎什么都没干呀。你看&#xf…

Docker:使用本地卷和tmpfs挂载

卷是为Docker容器保留数据的首选方法。在本文中&#xff0c;将展示如何创建和使用卷来实现持久性&#xff0c;以及如何使用tmpfs来实现临时存储。最简单的说&#xff0c;创建和安装由本地目录支持的卷如下所示&#xff1a;# make host directory mkdir -p /data# create docker…

ASP.NET 开源导入导出库Magicodes.IE 导出Pdf教程

基础教程之导出Pdf收据说明本教程主要说明如何使用Magicodes.IE.Pdf完成Pdf收据导出要点导出PDF数据自定义PDF模板导出单据如何批量导出单据导出特性PdfExporterAttributeOrientation&#xff1a;方向(横向或纵向)PaperKind&#xff1a;纸张类型&#xff08;默认A4&#xff09;…

宅家过年 | 程序员消遣活动指南

点击上方蓝字关注“汪宇杰博客”导语大家新年好&#xff01;今年的春节由于病毒疫情不适合外出写代码了&#xff0c;那么程序员宅在家里可以干些啥呢&#xff1f;我给大家推荐一些能抱着电脑一边取暖一边消遣的好项目。命令行版星球大战你有没有看过 ASCII ART 版的《星球大战》…

angular 构建可以动态挂载的配置服务

angular 构建可以动态挂载的配置服务Intro在 angular 中可以指定 environment 来区分不同环境下的配置&#xff0c;然而 environment 中的配置会在打包时是固定的&#xff0c;想要像挂载 asp.net core 里的 appsettings.json 的配置文件一样挂载 environment 是做不到的&#x…

关于KN95口罩:可以使用多久?要不要呼吸阀?怎么佩戴?

再说一遍&#xff1a;为啥要戴口罩&#xff01;冠状病毒在人与人之间传播&#xff0c;通常是在某人接触到感染者的分泌物的时候。病毒的传染力直接影响了传播途径。目前流行的新型冠状病毒的传播途径尚不清楚&#xff0c;但是按照以往的经验&#xff0c;接触到感染者咳嗽或打喷…

android 拼音搜索汉字,android开发之使用拼音搜索汉字

国庆回了趟家&#xff0c;昨天真不想走&#xff0c;离家近的感觉太好。唉&#xff0c;不扯这些&#xff0c;说说今天的正事吧。上篇博客中介绍了自定义AutoCompleteTextView &#xff0c;但是用到了一个很蹩脚的技术&#xff0c;就是我们事先把每个汉字的拼音当作一个字段输入进…

从壹开始【学代码】|| 我开发中的用到的几个框架

本文梯子一、单层小Demo&#xff0c;开发小页面利器二、通用仓储三层模型&#xff0c;简单又封装性好三、通用权限框架开发全家桶&#xff0c;开箱即用服务子项目四、Blog.Core去Service层版本五、DDD-Lite 思想进行开发项目六、领域驱动设计&#xff0c;半落地项目七、企业级论…

C#的未来:简化参数空值验证

乍一看&#xff0c;提案#2145 似乎是 C# 8 可空引用类型特性的逻辑扩展。其基本思想是&#xff0c;开发人员不需要再显式地向接受非空参数的方法添加参数空值检查。然而&#xff0c;人们对于这个特性的争议很大。本文试图说明这些选项以及它们的利弊&#xff0c;以便读者能够得…

android一键截图代码,偷偷告诉你ADB命令葵花宝典【一键截图和录屏】

先导预告作为一名测试工程师&#xff0c;每天可能都会面临从不同的设备导出截图或视频的工作&#xff0c;有些可能是bug截图或bug回放视频&#xff0c;有些截图可能是提供给PM或UI验收等等。 常规操作是iOS设备可以借助于iTools等工具导出&#xff1b;而安卓设备可能需要从设备…

【C# 调用 Go 语言】0x1 Hello Golang

C# 和 Golang 都不是世界上最好的语言。在不同的业务场景下&#xff0c;C# 和 Golang 各有所长。如果要编写一个网络程序&#xff0c;显然 Golang 更擅长&#xff0c;而如果要编写一个桌面 GUI 程序&#xff0c;那么 C# 简直不要太爽。我们完全可以将两者用在同一个项目中&…

云原生时代, 选择.NET Core

在容器、Kubernetes、DevOps&#xff0c;以及微服务等技术的推动下&#xff0c;2020年云原生势不可挡。 .NET Core 也非常契合 云原生对应用运行时的不同需求&#xff0c;.NET Core和kubernetes 同年诞生发展&#xff0c; 2018年kubernetes 已经奠定了在容器编排领域的王者地位…

WebApi管理和性能测试工具WebApiBenchmarks

说到WebApi管理和测试工具其实已经非常多的了&#xff0c;Postman、Swagger等在管理和维护上都非常出色&#xff1b;在性能测试方面也有不少的工具如:wrk,bombardier,http_load和ab等等。不过这些工具都具有单一性&#xff0c;管理和维护好的在性能测试上比较低效&#xff0c;对…