Web サイトをフロントエンドとして使用しており、すべてのユーザーは標準の ASP.NET メンバーシップ プロバイダーで認証されています。パスワードは、SQL データベース内に「ハッシュ」されて保存されます。
ここで、管理機能を備えたデスクトップ クライアントを書きたいと思います。とりわけ、ユーザーのパスワードをリセットする方法が必要です。保存されたメンバーシップ データを使用してデータベースにアクセスできますが、パスワードのソルトとハッシュを手動で作成するにはどうすればよいですか? System.Web.Membership 名前空間の使用は不適切と思われるため、新しいパスワードのソルトとハッシュを手動で作成する方法を知る必要があります。
専門家がステップアップ!:)
リフレクターを使用して、.NET フレームワークが内部で使用しているメソッドを調べました。これに利用できる公開メソッドがあるかもしれませんが、私はそれらを見つけられませんでした - ユーザーとしてこれらの内部メソッドを照会する方法を知っている場合は、コメントを残してください! :)
パスワードをSHA1ハッシュとしてエンコードしたいだけなので、不要な条件を除いた単純化されたソースコードは次のとおりです。
private string GenerateSalt() {
var buf = new byte[16];
(new RNGCryptoServiceProvider()).GetBytes(buf);
return Convert.ToBase64String(buf);
}
private string EncodePassword(string pass, string salt) {
byte[] bytes = Encoding.Unicode.GetBytes(pass);
byte[] src = Convert.FromBase64String(salt);
byte[] dst = new byte[src.Length + bytes.Length];
byte[] inArray = null;
Buffer.BlockCopy(src, 0, dst, 0, src.Length);
Buffer.BlockCopy(bytes, 0, dst, src.Length, bytes.Length);
HashAlgorithm algorithm = HashAlgorithm.Create("SHA1");
inArray = algorithm.ComputeHash(dst);
return Convert.ToBase64String(inArray);
}
System.Web.Securityコンソールまたは winforms アプリ内で絶対に使用できます。
簡単なコンソール アプリケーションを次に示します。
static void Main(string[] args)
{
MembershipProvider provider = Membership.Provider;
MembershipUser myUser = provider.GetUser("myUser", false);
if( myUser != null ) provider.DeleteUser("myUser", true);
MembershipCreateStatus status;
myUser = provider.CreateUser("myUser", "password", "user@example.com", null, null, true, null, out status);
if (status != MembershipCreateStatus.Success)
{
Console.WriteLine("Could not create user. Reason: " + status.ToString());
Console.ReadLine();
return;
}
Console.WriteLine("Authenticating with \"password\": " + provider.ValidateUser("myUser", "password").ToString());
string newPassword = myUser.ResetPassword();
Console.WriteLine("Authenticating with \"password\": " + provider.ValidateUser("myUser", "password").ToString());
Console.WriteLine("Authenticating with new password: " + provider.ValidateUser("myUser", newPassword).ToString());
Console.ReadLine();
}
そして app.config:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<connectionStrings>
<add name="MyConnectionString" connectionString="Data Source=localhost;Initial Catalog=MyDatabase;Integrated Security=True" providerName="System.Data.SqlClient" />
</connectionStrings>
<system.web>
<membership defaultProvider="MyMembershipProvider">
<providers>
<clear />
<add name="MyMembershipProvider"
type="System.Web.Security.SqlMembershipProvider"
connectionStringName="MyConnectionString"
applicationName="MyApplication"
minRequiredPasswordLength="5"
minRequiredNonalphanumericCharacters="0"
requiresQuestionAndAnswer="false" />
</providers>
</membership>
</system.web>
</configuration>
クイックダーティメソッド
Public Shared Function GetSaltKey() As String
Dim saltBytes() As Byte
Dim minSaltSize As Integer = 4
Dim maxSaltSize As Integer = 8
' Generate a random number for the size of the salt.
Dim random As Random
random = New Random()
Dim saltSize As Integer
saltSize = random.Next(minSaltSize, maxSaltSize)
' Allocate a byte array, which will hold the salt.
saltBytes = New Byte(saltSize - 1) {}
' Initialize a random number generator.
Dim rng As RNGCryptoServiceProvider
rng = New RNGCryptoServiceProvider()
' Fill the salt with cryptographically strong byte values.
rng.GetNonZeroBytes(saltBytes)
' Convert plain text into a byte array.
Return Convert.ToBase64String(saltBytes)
End Function
Public Shared Function ComputeHash(ByVal password As String, ByVal salt As String) As String
Return System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(salt & password, _
System.Web.Configuration.FormsAuthPasswordFormat.SHA1.ToString)
End Function
ただし、Forgotten Semicolonが述べているように、メンバーシップの名前空間にもこのための機能が組み込まれています。
ASP.Net メンバーシップをいじくり回してからしばらく経ちましたが、それに少し関連する処理を覚えています (既存のユーザー データベースのためにカスタマイズする必要がありました)。その努力の中で、私はメソッドをオーバーライドしました (既存のユーザー データベースには md5 ハッシュ化された pwd がありました)。
したがって、同じ「考え方」で:
デスクトップ アプリが参照できる Web サービスを介してメンバーシップ API を公開します。この方法では、ものを「再作成」するのではなく、再利用します。何もオーバーライドする必要はありません。デスクトップ アプリの Web サービスを介して既存のメソッドを公開するだけです。
言うまでもなく、このエンドポイントを保護する必要があります....
上記があなたの好みに合わない場合は、ハッシュを再作成する試みに関するasp.netフォーラムへのリンクを次に示します....正確さを確認することはできませんが、簡単にテストできるはずです: