1. 首页
  2. 问答
  3. MVC 3在哪里加密用户的密码?

MVC 3在哪里加密用户的密码?

2012-08-17 52 views
2

我有我自己的密码加密DLL,我用它来检查用户的密码时,他们登录,这是在我的用户实体引用。MVC 3在哪里加密用户的密码?

现在我已经创建了用户注册哪些工作正常的能力,除了密码还有待加密。

我的问题很简单,我应该在哪里加密新用户的密码?我不知道用户的密码不应该以纯文本传输,因此我不知道哪里可以称为加密功能的最佳位置:

  • 用户实体(其中加密dll已经用于验证)。
  • 保存用户方法所在的用户存储库。
  • 控制用户创建视图的用户控制器。
  • 我还没有考虑过的其他地方!

非常感谢

来源

2012-08-17 XN16

回答

6

首先,对于客户端 - 服务器通信,我建议您使用SSL来传递敏感信息(如密码)不要以纯文本格式传输。

之后,这是常见的做法,是不会在任何地方(甚至是加密保存密码,但其中的哈希值

你可以把散列函数密码属性的设置方法下面是一个例子。:

public class Member 
{ 
    private string _username; 

    public string Username 
    { 
     get { return _username; } 
     set { _username = value.ToLowerInvariant(); } 
    } 

    public string Passhash {get;set;} 

    public void SetPassword(string password) 
    { 
     Passhash = Crypto.Hash(password); 
    } 

    public bool CheckPassword(string password) 
    { 
     return string.Equals(Passhash, Crypto.Hash(password)); 
    } 
} 

public static class Crypto 
{ 
    public static string Hash(string value) 
    { 
     return Convert.ToBase64String(
      System.Security.Cryptography.SHA256.Create() 
      .ComputeHash(Encoding.UTF8.GetBytes(value))); 
    } 
}

编辑:

克雷格斯顿茨指出,在这个例子中,哈希代码很简单,请参见下面的职位更安全的方式来散列密码:Hashing passwords with MD5 or sha-256 C#

来源

2012-08-17 17:53:40

+0

+1。存储散列,而不是加密的密码。 – CodingWithSpike 2012-08-17 18:00:20

+0

非常感谢,我喜欢这个答案,但是我使用实体框架,只要我将Password属性更改为Password类而不是字符串,它就不会从数据库中获取数据,这很有意义。你有什么想法如何解决这个问题? – XN16 2012-08-17 20:18:57

+0

根据您的要求更改了代码。 – 2012-08-17 20:21:25

5

在服务层的方法,这将是负责做两件事情:

  1. 打电话给你的加密层哈希密码(不加密的话)
  2. 调用您的用户存储库以将用户实体持久化到具有散列密码的数据库中

控制器的动作当然会与服务层交谈。

来源

2012-08-17 17:53:28

3

不要做自己的密码散列,甚至不要考虑加密密码。

使这种安全的努力是巨大的。使用基于公开可用规范和算法的现有方法。

来源

2012-08-17 19:31:12

0 
//ENCODE 

public string base64Encode(string sData) 
{ 
try 
{ 
byte[] encData_byte = new byte[sData.Length]; 

encData_byte = System.Text.Encoding.UTF8.GetBytes(sData); 

string encodedData = Convert.ToBase64String(encData_byte); 

return encodedData; 

} 
catch(Exception ex) 
{ 
throw new Exception("Error in base64Encode" + ex.Message); 
} 
} 

//DECODE 

public string base64Decode(string sData) 
    { 
     try 
     { 
      System.Text.UTF8Encoding encoder = new System.Text.UTF8Encoding(); 

      System.Text.Decoder utf8Decode = encoder.GetDecoder(); 

      byte[] todecode_byte = Convert.FromBase64String(sData); 

      int charCount = utf8Decode.GetCharCount(todecode_byte, 0, todecode_byte.Length); 

      char[] decoded_char = new char[charCount]; 

      utf8Decode.GetChars(todecode_byte, 0, todecode_byte.Length, decoded_char, 0); 

      string result = new String(decoded_char); 

      return result; 
     } 
     catch (Exception ex) 
     { 
      throw new Exception("Error in base64Decode" + ex.Message); 
     } 
    } 

How to call 

string encode= base64Encode(val); 

string decode= base64Decode(val); 


This is very helpful to decode and encode your string(password)

来源

2015-12-02 05:51:40

相关问题

 相关问题