哈希密码到SqlServer
[英]Hashing password to SqlServer
问题描述
我一直在重复阅读代码以查看错误发生的位置,但我无法找到它。 我已经从stackoverflow复制了这个代码,从来没有真正检查它或完全理解它来修复它。 我正在从Web服务接收密码,散列,腌制并将其保存到SqlServer 2008. SqlServer上的变量被声明为mail为nvarchar(64),hash为varbinary(128),salt为varbinary(128)。 密码正在保存,但是当我尝试检查密码是否正确时,该方法始终返回false。 这是我的方法。
public int InsertData(string mail,string Password)
{
int lineas;
UserData usuario = HashPassword(Password);
using (SqlConnection connection = new SqlConnection(Connection))
using (SqlCommand command = connection.CreateCommand())
{
command.CommandText = "INSERT INTO Usuarios (Mail,Hash,Salt) VALUES (@mail,@hash,@salt)";
command.Parameters.AddWithValue("@mail", mail);
command.Parameters.AddWithValue("@hash", usuario.Password);
command.Parameters.AddWithValue("@salt", usuario.salt);
connection.Open();
lineas=command.ExecuteNonQuery();
}
usuario = null;
return lineas;
}
private UserData HashPassword(string Password)
{
//This method hashes the user password and saves it into the object UserData
using (var deriveBytes = new Rfc2898DeriveBytes(Password, 20))
{
byte[] salt = deriveBytes.Salt;
byte[] key = deriveBytes.GetBytes(20); // derive a 20-byte key
UserData usuario = new UserData();
usuario.Password = key;
usuario.salt = salt;
return usuario;
}
}
下一个方法是我用来验证密码的方法,它总是返回false
private bool CheckPassword(string Password, byte[] hash, byte[] salt)
{
// load salt and key from database
using (var deriveBytes = new Rfc2898DeriveBytes(Password, salt))
{
byte[] newKey = deriveBytes.GetBytes(20); // derive a 20-byte key
if (!newKey.SequenceEqual(hash))
return false;
else
return true;
}
}
此方法接收登录信息
public bool ValidateLogIn(string mail, string Password)
{
using (SqlConnection connection = new SqlConnection(Connection))
using (SqlCommand command = connection.CreateCommand())
{
command.CommandText = "Select * from Usuarios where Mail=@mail";
command.Parameters.AddWithValue("@mail",mail);
connection.Open();
using (SqlDataReader reader = command.ExecuteReader())
{
reader.Read();
byte[] hash = (byte[])reader["Hash"];
byte[] salt = (byte[])reader["Salt"];
if(CheckPassword(Password,hash,salt))
{
/
UpdateData(mail, Password);
return true;
}
else
{
return false;
}
}
}
}
什么想法可能是错的?
编辑:我找到了我获得散列码的链接https://stackoverflow.com/a/4330586/1861617
2 个解决方案
解决方案1
0 2013-09-30 11:02:52
在测试项目中使用您的代码(带有文本框+按钮+标签的Windows窗体)我添加了这个:
internal class UserData
{
public byte[] Password { get; set; }
public byte[] Salt { get; set; }
}
public string Connection { get; set; }
private void UpdateData(string mail, string password)
{
// not a clue what to do here....
}
private void button1_Click(object sender, EventArgs e)
{
var password = textBox1.Text;
var u = HashPassword(password);
var b = new SqlConnectionStringBuilder {DataSource = "127.0.0.1", IntegratedSecurity = true};
Connection = b.ConnectionString;
InsertData("test@domain.com", password);
label1.Text = string.Format("Using direct check: {0}\nVia the database: {1}",
CheckPassword(password, u.Password, u.Salt),
ValidateLogIn("test@domain.com", password));
}
并且它返回true;真正没有任何问题。 (VS2010,.Net4 CP,SQL2008R2)
在数据库中我使用了这个:
CREATE TABLE tempdb..t_hash
(
Mail nvarchar(64) NOT NULL PRIMARY KEY (Mail),
Hash varbinary(128),
Salt varbinary(128)
)
我最好的猜测是你对UserData clas的定义是“有缺陷的”?
解决方案2
0 已采纳 2013-10-03 00:59:40
用deroby的答案检查后仍然没有运气。 我重新检查并实现了20个字节是120位,因此varbinary无法存储整个盐。 将它增加到256后就可以了。
散列和腌制密码字段
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.