我有我自己的密码加密DLL,我用它来检查用户的密码时,他们登录,这是在我的用户实体引用。MVC 3在哪里加密用户的密码?
现在我已经创建了用户注册哪些工作正常的能力,除了密码还有待加密。
我的问题很简单,我应该在哪里加密新用户的密码?我不知道用户的密码不应该以纯文本传输,因此我不知道哪里可以称为加密功能的最佳位置:
- 用户实体(其中加密dll已经用于验证)。
- 保存用户方法所在的用户存储库。
- 控制用户创建视图的用户控制器。
- 我还没有考虑过的其他地方!
非常感谢
我有我自己的密码加密DLL,我用它来检查用户的密码时,他们登录,这是在我的用户实体引用。MVC 3在哪里加密用户的密码?
现在我已经创建了用户注册哪些工作正常的能力,除了密码还有待加密。
我的问题很简单,我应该在哪里加密新用户的密码?我不知道用户的密码不应该以纯文本传输,因此我不知道哪里可以称为加密功能的最佳位置:
非常感谢
首先,对于客户端 - 服务器通信,我建议您使用SSL来传递敏感信息(如密码)不要以纯文本格式传输。
之后,这是常见的做法,是不会在任何地方(甚至是加密保存密码,但其中的哈希值
你可以把散列函数密码属性的设置方法下面是一个例子。:
public class Member
{
private string _username;
public string Username
{
get { return _username; }
set { _username = value.ToLowerInvariant(); }
}
public string Passhash {get;set;}
public void SetPassword(string password)
{
Passhash = Crypto.Hash(password);
}
public bool CheckPassword(string password)
{
return string.Equals(Passhash, Crypto.Hash(password));
}
}
public static class Crypto
{
public static string Hash(string value)
{
return Convert.ToBase64String(
System.Security.Cryptography.SHA256.Create()
.ComputeHash(Encoding.UTF8.GetBytes(value)));
}
}
编辑:
克雷格斯顿茨指出,在这个例子中,哈希代码很简单,请参见下面的职位更安全的方式来散列密码:Hashing passwords with MD5 or sha-256 C#
在服务层的方法,这将是负责做两件事情:
控制器的动作当然会与服务层交谈。
不要做自己的密码散列,甚至不要考虑加密密码。
使这种安全的努力是巨大的。使用基于公开可用规范和算法的现有方法。
//ENCODE
public string base64Encode(string sData)
{
try
{
byte[] encData_byte = new byte[sData.Length];
encData_byte = System.Text.Encoding.UTF8.GetBytes(sData);
string encodedData = Convert.ToBase64String(encData_byte);
return encodedData;
}
catch(Exception ex)
{
throw new Exception("Error in base64Encode" + ex.Message);
}
}
//DECODE
public string base64Decode(string sData)
{
try
{
System.Text.UTF8Encoding encoder = new System.Text.UTF8Encoding();
System.Text.Decoder utf8Decode = encoder.GetDecoder();
byte[] todecode_byte = Convert.FromBase64String(sData);
int charCount = utf8Decode.GetCharCount(todecode_byte, 0, todecode_byte.Length);
char[] decoded_char = new char[charCount];
utf8Decode.GetChars(todecode_byte, 0, todecode_byte.Length, decoded_char, 0);
string result = new String(decoded_char);
return result;
}
catch (Exception ex)
{
throw new Exception("Error in base64Decode" + ex.Message);
}
}
How to call
string encode= base64Encode(val);
string decode= base64Decode(val);
This is very helpful to decode and encode your string(password)
+1。存储散列,而不是加密的密码。 – CodingWithSpike 2012-08-17 18:00:20
非常感谢,我喜欢这个答案,但是我使用实体框架,只要我将Password属性更改为Password类而不是字符串,它就不会从数据库中获取数据,这很有意义。你有什么想法如何解决这个问题? – XN16 2012-08-17 20:18:57
根据您的要求更改了代码。 – 2012-08-17 20:21:25