1 加Salt散列

2 ASP.NET 2.0 Membership中与密码散列有关的代码

 

声明:本文所罗列之源代码均通过Reflector取自.NET Framework类库,引用这些代码仅出于学习和研究的目的。

 

其实,对密码进行散列存储不是一个新鲜话题了,解决起来也不是很难,但很多人还是不大了解。这个小文只是强调一下“加Salt散列”这个简单的技术,并给出ASP.NET Membership所使用的代码。

 

本来打算写一篇介绍如何实现用户登录功能的文章的,但因为时间有限,所以先介绍一下密码的散列,下一篇再介绍用户登录。

 

----

 

1 密码必须散列存储

 

(内容略)

 

2 加Salt散列

 

我们知道,如果直接对密码进行散列,那么***(统称那些有能力窃取用户数据并企图得到用户密码的人)可以对一个已知密码进行散列,然后通过对比散列值得到某用户的密码。换句话说,虽然***不能取得某特定用户的密码,但他可以知道使用特定密码的用户有哪些。

 

加Salt可以一定程度上解决这一问题。所谓加Salt,就是加点“佐料”。其基本想法是这样的——当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。

 

这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便***可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和***使用的一样才行)。

 

下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。

 

 

用户注册时:

 

1)用户提供密码(以及其他用户信息);

2)系统为用户生成Salt值;

3)系统将Salt值和用户密码连接到一起;

4)对连接后的值进行散列,得到Hash值;

5)将Hash值和Salt值分别放到数据库中。

 

 

登录时:

1)用户提供用户名和密码;

2)系统通过用户名找到与之对应的Hash值和Salt值;

3)系统将Salt值和用户提供的密码连接到一起;

4)对连接后的值进行散列,得到Hash'(注意有个“撇”);

5)比较Hash和Hash'是否相等,相等则表示密码正确,否则表示密码错误。

 

3 ASP.NET 2.0 Membership中的相关代码

(省略关于Membership的介绍若干字)

本文Anders Liu仅研究了SqlMembershipProvider,该类位于System.Web.dll,System.Web.Security命名空间中。

首先,要使用Membership,必须先用aspnet_regsql.exe命令来配置数据库,该工具会向现有数据库中添加一系列表和存储过程等,配置好的数据库中有一个表aspnet_Membership,就是用于存放用户帐户信息的。其中我们所关注的列有三个——Password、PasswordFormat和PasswordSalt。

 

Password存放的是密码的散列值,PasswordFormat存放用于散列密码所使用的算法,PasswordSalt就是系统生成的Salt值了。

 

网站安全了,程序自然也就复杂了...

     discuz的加密方式:md5(md5($password).$salt),$salt是一个6位随机数。

     注册的时候,把用户的密码用md5(md5($password).$salt)加密,$salt是一个6位随机数字,下面是我的一个获取6位随机数的一个方法:

     function randstr($len=6) {

     $chars='abcdefghijklmnopqrstuvwxyz0123456789';

// characters to build the password from

     mt_srand((double)microtime()*1000000*getmypid());

// seed the random number generater (must be done)

     $password='';

     while(strlen($password)<$len)

         $password.=substr($chars,(mt_rand()%strlen($chars)),1);

     return $password;

}

     $salt=randstr();把randstr()赋值给$salt,然后用md5(md5(会员提交的密码).$salt)加密就可以了,但是千万不要忘了把$salt入库哦(uc_members表)。

     登陆的时候根据用户名把$salt取出来,用md5(md5(会员提交的密码).$salt)匹配密码,如果一样就登陆成功了

作者 xp9802