.NET Core验证ASP.NET密码

最新推荐文章于 2022-06-26 08:12:33 发布
最新推荐文章于 2022-06-26 08:12:33 发布
阅读量967 收藏
点赞数

.NET Core验证ASP.NET密码

随着 .NETCore的持续更新和完善,越来越多的机构已经选择或者升级为 .NETCore。但由于技术不完全相同,不可能所有应用/数据库都能无缝迁移,因此 ASP.NETCore和传统 ASP.NET之间多少会存在一些挑战,需要更多的渐进升级方法和交互。

其中,密码共享就是升级到 ASP.NETCore一个很容易想到的渐进升级方式,也是一个需要解决的问题。

啥?什么都不用做?

其实如果坚持走 ASP.NETCoreIdentity这一套,代码是写了一个 if/else,能兼容老 ASP.NETIdentity生成的密码的。 Github链接:https://github.com/dotnet/aspnetcore/blob/8b7f6621695d93b2a55fb8a5b1be99c4af867ae4/src/Identity/Extensions.Core/src/PasswordHasher.cs#L185-L207,核心代码如下:

/// <summary>
/// Returns a <see cref="PasswordVerificationResult"/> indicating the result of a password hash comparison.
/// </summary>
/// <param name="user">The user whose password should be verified.</param>
/// <param name="hashedPassword">The hash value for a user's stored password.</param>
/// <param name="providedPassword">The password supplied for comparison.</param>
/// <returns>A <see cref="PasswordVerificationResult"/> indicating the result of a password hash comparison.</returns>
/// <remarks>Implementations of this method should be time consistent.</remarks>
public virtual PasswordVerificationResult VerifyHashedPassword(TUser user, string hashedPassword, string providedPassword)
{
    if (hashedPassword == null)
    {
        throw new ArgumentNullException(nameof(hashedPassword));
    }
    if (providedPassword == null)
    {
        throw new ArgumentNullException(nameof(providedPassword));
    }
    byte[] decodedHashedPassword = Convert.FromBase64String(hashedPassword);
    // read the format marker from the hashed password
    if (decodedHashedPassword.Length == 0)
    {
        return PasswordVerificationResult.Failed;
    }
    switch (decodedHashedPassword[0])
    {
        case 0x00:
            if (VerifyHashedPasswordV2(decodedHashedPassword, providedPassword))
            {
                // This is an old password hash format - the caller needs to rehash if we're not running in an older compat mode.
                return (_compatibilityMode == PasswordHasherCompatibilityMode.IdentityV3)
                    ? PasswordVerificationResult.SuccessRehashNeeded
                    : PasswordVerificationResult.Success;
            }
            else
            {
                return PasswordVerificationResult.Failed;
            }
        case 0x01:
            int embeddedIterCount;
            if (VerifyHashedPasswordV3(decodedHashedPassword, providedPassword, out embeddedIterCount))
            {
                // If this hasher was configured with a higher iteration count, change the entry now.
                return (embeddedIterCount < _iterCount)
                    ? PasswordVerificationResult.SuccessRehashNeeded
                    : PasswordVerificationResult.Success;
            }
            else
            {
                return PasswordVerificationResult.Failed;
            }
        default:
            return PasswordVerificationResult.Failed; // unknown format marker
    }
}

它根据 Base64解码后的第一个字节,来判断是老版本还是新版本,然后调用各自不同的验证函数。

但时代在变化,很多人已经不用官方提供的这一套 Identity验证密码,那么有什么“骚”操作,可以解密吗?

和密码刚正面

传统的 ASP.NET MVC模板项目是通过 ASP.NETIdentity管理的密码,它由 Rfc2898DeriveBytes实现,该算法进行了 1000次循环 SHA1哈希、并加盐,以确保难以通过传统的哈希碰撞来确保密码的安全性,其核心代码如下( Github链接:https://github.com/aspnet/AspNetIdentity/blob/9c48993a446288032f9824633e6dae81257da06e/src/Microsoft.AspNet.Identity.Core/Crypto.cs#L26-L46):

private const int PBKDF2IterCount = 1000; // default for Rfc2898DeriveBytes
private const int PBKDF2SubkeyLength = 256/8; // 256 bits
private const int SaltSize = 128/8; // 128 bits
/* =======================
*  HASHED PASSWORD FORMATS
*  =======================
*
*  Version 0:
*  PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.
*  (See also: SDL crypto guidelines v5.1, Part III)
*  Format: { 0x00, salt, subkey }
*/
public static string HashPassword(string password)
{
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    // Produce a version 0 (see comment above) text hash.
    byte[] salt;
    byte[] subkey;
    using (var deriveBytes = new Rfc2898DeriveBytes(password, SaltSize, PBKDF2IterCount))
    {
        salt = deriveBytes.Salt;
        subkey = deriveBytes.GetBytes(PBKDF2SubkeyLength);
    }
    var outputBytes = new byte[1 + SaltSize + PBKDF2SubkeyLength];
    Buffer.BlockCopy(salt, 0, outputBytes, 1, SaltSize);
    Buffer.BlockCopy(subkey, 0, outputBytes, 1 + SaltSize, PBKDF2SubkeyLength);
    return Convert.ToBase64String(outputBytes);
}

值得一提的是,代码用到了 Rfc2898DeriveBytes,经常读我的博客的知道,这个类是老朋友了,通过传入明文密码、盐、迭代次数和算法,可以在不依赖于哈希算法安全性的前提下做单向加密,确保了密码的不可(难以)破解性。

可见,密码的原始字节由 {0,salt,subkey}三部分组成,其中盐为 128位,即 16字节, subkey为 256位,即 32字节,总共 1+16+32=49字节,密文需要转换为 Base64,根据 Base64的信息量计算公式

Math.Log(64, 256)=0.75

可知, Base64编码相对原始字节的比例为 0.75:1,因此计算可得转换为 Base64之后,其字符串长度为

Math.Ceiling(49 / 0.75 / 4) * 4 = 68

我们来从数据库随便查询一个由 ASP.NETIdentity创建的密码:

SELECT TOP 1 
    PasswordHash, 
    LEN(PasswordHash) AS Len 
FROM [User]

结果如下,可见结果长度真的为 68: 

所以,说了这么多,怎么把密码迁移到 ASP.NETCore呢?

注意看,上面的代码没什么特别,就是依赖于 Rfc2898DeriveBytes这个类。

.NETCore内置了 Rfc2898DeriveBytes这个类,可以直接使用,不需要安装任何 NuGet包,因此……直接复制粘贴上文中的【核心代码】即可。

ASP.NETCore中的 Identity有什么区别?

Github核心代码在此:https://github.com/dotnet/aspnetcore/blob/8b7f6621695d93b2a55fb8a5b1be99c4af867ae4/src/Identity/Extensions.Core/src/PasswordHasher.cs#L113-L156

我就从简引用一下关键注释:

/* =======================
*  HASHED PASSWORD FORMATS
*  =======================
*
*  Version 2:
*  PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.
*  (See also: SDL crypto guidelines v5.1, Part III)
*  Format: { 0x00, salt, subkey }
*
*  Version 3:
*  PBKDF2 with HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 iterations.
*  Format: { 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
*  (All UInt32s are stored big-endian.)
*/

原来,老 ASP.NETIdentity中的密码版本为 V2,当前 ASP.NETCoreIdentity中的密码版本为 V3,首字节(版本号)从 0x00改成了 0x01,算法从 HMACSHA1升级为了 HMACSHA256,另外 V3版本还将迭代次数从 1000升级为 10000,另外还将算法名、迭代次数、盐的长度信息保存在了密码中。

另外需要注意的是,新 ASP.NETCoreIdentity的实现很有弹性,它通过依赖注入 IOptions<T>的形式,使得所有选项都是可以配置的。

解密示例

假如我有一个密码: myF&TB9vhTx7,我使用传统的 ASP.NET MVC创建项目,然后用这个密码注册一个帐号: 

然后在数据库中将哈希值取出来:

SELECT PasswordHash
FROM [AspNetUsers]
WHERE [Email] = N'sdflysha@qq.com'

查得结果如下,结果为 AJRvdJ1/Ii+58zU6yBrPJH4hCkMagxqK/W6oejAuG1hIrNPEQMAAyYynsXWwat9Huw==: 

我将上述代码作简化,用最简单的代码表达验证密码的过程,除去两行注释代码(用于做断言),整个过程只需7行代码,代码如下:

string pwdHashText = "AJRvdJ1/Ii+58zU6yBrPJH4hCkMagxqK/W6oejAuG1hIrNPEQMAAyYynsXWwat9Huw==";
string pwd = "myF&TB9vhTx7";
byte[] pwdHash = Convert.FromBase64String(pwdHashText);
// Debug.Assert(pwdHash.Length == 49);
// Debug.Assert(pwdHash[0] == 0);
byte[] salt = pwdHash[1..17];
byte[] hash = pwdHash[17..49];
using var r = new Rfc2898DeriveBytes(pwd, salt, 1000);
Console.WriteLine(r.GetBytes(32).SequenceEqual(hash));

此时,运行结果如下,运行显示 True,表示验证解码成功: 

总结

我总结一个表格如下所示:


ASP.NETIdentityASP.NETCoreIdentity
版本V2V3
首字节0x000x01
默认算法HMACSHA1HMACSHA256
迭代次数100010000
密码信息版本+盐+哈希值版本+算法+迭代次数+盐长度+盐+哈希值
原始长度1+16+32=491+4+4+4+16+32=61
Base64长度6884
可配置性不可配置可自由配置
安全性非常好

密码解密其实是前往 ASP.NETCore上较为轻松的一步,核心代码也就 7行。

其实更有挑战、也更有意思的是如何解传统 ASP.NETIdentity中的 Cookie,我将在下一篇中详情分析这个主题,敬请期待!

喜欢的朋友请关注我的微信公众号:【DotNet骚操作】

新年快到了,祝大家阖家欢乐,鼠年大吉!

dotNET跨平台
关注
Asp.Net Core IdentityIdentityUser对象的PasswordHash解析
就在昨天之技术点滴
05-23 1811
PasswordHash的组成说明 (一) 概述 Asp.Net Core Identity中的IdentityUser表中,PasswordHash默认是一长串的Base64格式的字符串,目前版本称为V3,而Asp.Net Identity中的版本称为V2。 比如,在网页注册页面输入的密码Ss_123,可能生成的PasswordHash为:AQAAAAEAACcQAAAAEHfLUrXi8Zh9fMzc6PC4b0q1JzQYhMoVMlTUFtJnIuMhMKfuOqw+tVz/1pXg0jzHg
C#ASP.NET中使用正则表达式在注册密码时进行密码强度检验
最新发布
qq_70083833的博客
10-25 539
在使用正则表达式之前需要引用,在代码顶行添加using如下。
ASP与数据库运用:密码验证
04-24 962
ASP与数据库运用:密码验证 Microsoft 的大作ASP(Active Server Pages)以其易学易用、扩充性好、功能多而强等优点正掀起一场新的web编程革命(从严格意义上讲,编写asp并不是编程),它以令人吃惊的发展和普及速度大有取代由perl等语言编写的CGI(Common Gateway Interface,通用网关接口) 的势头。基于web page方式的web管理模式已经
快速掌握 ASP.NET 身份认证框架 Identity - 通过邮件重置密码
dotNET跨平台
06-26 806
这是 ASP.NET Core Identity 系列的第四篇文章,上一篇文章讲解了如何在 ASP.NET Core Identity 中实现用户登录与登出。这篇文章讲一讲如何在 ASP.NET Core Identity 中通过邮件服务实现用户账号的密码重置。点击上方或后方蓝字,阅读 ASP.NET Core Identity 系列合集。本篇文章的示例项目:https:...
详解ASP.NET CoreASP.NET Framework共享身份验证
01-20
ASP.NET CoreASP.NET Framework 共享身份验证.NET开发者在迁移项目时面临的重要问题。随着.NET Core的崛起,它的优势如开源、跨平台、高性能等吸引了大量开发者的关注。然而,由于.NET Core.NET Framework在...
ASP.NET Core MVC从入门到精通系列文章PDF版
06-30
21. **模型校验**:ASP.NET Core提供了数据注解和Fluent验证来确保模型数据的有效性。 22. **鉴权和授权**:鉴权验证用户身份,授权决定用户是否有权限执行某个操作。ASP.NET Core中的Identity框架提供了用户管理和...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
Asp.Net Core中基于Session的身份验证的实现
10-18
Asp.Net Core中,基于Session的身份验证是一种传统的身份验证机制,尽管在Asp.Net Core中推荐使用更高级的如JWT(JSON Web Tokens)或Cookie身份验证,但有些情况下开发者仍可能选择使用Session。以下是对Asp.Net ...
基于 .NET CoreASP.NET Core 开发的支付SDK集.zip
06-06
2. **ASP.NET Core**:学习ASP.NET Core的MVC(模型-视图-控制器)模式、路由、中间件、身份验证和授权机制,以及如何使用Kestrel服务器构建RESTful API。 3. **支付接口开发**:掌握支付接口的规范,如HTTP请求、...
NET-密码强度的验证
weixin_30633507的博客
12-01 347
效果如下:输入密码: 密码强度: 弱 中 强 代码如下: 代码 1 <%@ Page ...
ASP程序密码验证漏洞
weixin_34204057的博客
11-16 316
漏洞描述:  很多网站把密码放到数据库中,在登陆验证中用以下sql,(以asp为例)sql="select*fromuserwhereusername='"&username&"'andpass='"&pass&'"  此时,您只要根据sql构造一个特殊的用户名和密码,如:ben'or'1'...
PasswordHasher
weixin_33711641的博客
08-05 475
namespace Microsoft.AspNet.Identity { public class PasswordHasher : IPasswordHasher { public virtual string HashPassword(string password) { return Crypto.HashPassword(password); } ...
asp 实现网页密码验证的两个基本方法
gddsky的小空间
09-30 1899
 【摘 要】当上网者要浏览这个目录的网页时,浏览器就会显示“请输入用户名和密码”的窗口,要求用户输入用户名和密码,因为IIS验证的方法是与NT服务器结合在一起,只要是NT服务器的用户,就是IIS的用户,因此这里输入的用户名和密码是已经在 NT服务器中建立的用户及对应的密码。用这种方法我们可以轻松实现对Sample目录网页的密码验证。我们在访问一些网站时,经常会碰到需要输入“用户名和密码”的网页
Asp.Net Core 密码加密方案
何足道也
07-29 1877
使用PBKDF2算法来创建哈希的方法。PBKDF2全称Password-Based Key Derivation Function,它的基本原理是通过一个伪随机函数(例如HMAC函数),把明文和一个盐值作为输入参数,然后重复进行运算,最终产生秘钥。如果重复的次数足够大,破解的成本将非常大。 PBKDF2定义如下 DK = PBKDF2(PRF, Password, Salt, c, dkLen) PRF 是一个伪随机函数,可以简单的理解为 Hash 函数。 Password 表示口令 。 Sal
asp.net core IdentityServer4 实现 Client credentials(客户端凭证)
weixin_45032957的博客
09-27 245
OAuth 2.0默认四种授权模式(GrantType) 授权码模式(authorization_code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client_credentials) 本章主要介绍客户端模式(client credentials) ,他主要是由两部分构成客户端和认证服务器. 认证服务器在确定...
.NET Core项目实战-统一认证平台】第十一章 授权篇-密码授权模式
dotNET跨平台
12-20 460
上篇文章介绍了基于Ids4客户端授权的原理及如何实现自定义的客户端授权,并配合网关实现了统一的授权异常返回值和权限配置等相关功能,本篇将介绍密码授权模式,从使用场景、源码...
IdentityServer4在.Net Core 3.1中应用(密码授权模式)
Oracel 11G安装过程
05-10 469
IdentityServer4在.Net Core 3.1中应用(密码授权模式)前言一、修改IdentityServer认证服务器?1.1 修改Config文件1.2 修改DI容器二、修改客户端三、验证3.1 启动项目3.2 获取Access_Token(Postman)3.3 携带Access_Token请求API(Postman)3.4 客户端验证 前言 密码授权模式是在客户端授权模式的基础代码上修改的,没有代码的可以查看我之前的那片文章。客户端验证模式 一、修改IdentityServer认证服务
ASP.NET Core WebAPI基于IdentityServer4实现Token令牌身份认证
跟着阿笨一起玩NET
01-31 1679
一、课程介绍 开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说如何确保提供的API服务的数据安全将会是需要思考的问题。在ASP.NET WebApi中我们应该如何保证我们的接口安全呢? 本次分享课程阿笨给大家分享的在ASP.NET Core中使用的是目前最流行、功能最强大的身份授权以及访问控制的解决方案——IdentityServer4(认证和授权),它是一套专注于...
ASP.NET Core.NET Framework身份验证集成教程
本文将深入探讨ASP.NET CoreASP.NET Framework在身份验证方面的共享机制,特别是在迁移项目到.NET Core的过程中,如何确保两者之间的兼容性。随着.NET Core的兴起,它凭借其开源、组件化、跨平台、高性能和活跃的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值