[英]Is it possible to piggyback off of an ADFS 3.0 login using machinekey?
[英]Changing machinekey prevents login of existing users
我正在使用Web.config
配置的成員資格提供程序來使用SQL CE:
<connectionStrings>
<add name="DefaultConnection" connectionString="Data Source=|DataDirectory|\Users.sdf" providerName="System.Data.SqlServerCe.4.0" />
</connectionStrings>
和:
<membership defaultProvider="DefaultMembershipProvider">
<providers>
<clear />
<add name="DefaultMembershipProvider" type="System.Web.Providers.DefaultMembershipProvider, System.Web.Providers, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" connectionStringName="DefaultConnection" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="false" requiresUniqueEmail="false" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="6" minRequiredNonalphanumericCharacters="0" passwordAttemptWindow="10" passwordFormat="Hashed" applicationName="/" />
</providers>
</membership>
如果我沒有指定machinekey,這可以正常工作。
如果我按如下方式將一個機器密鑰添加到Web.config
,則現有用戶將無法再登錄。 但是,我可以創建新用戶,他們可以登錄。
<machineKey validationKey="D829F10BE92767EC2F9E9FC53B2CF3952AAD386483D6E81E74B4BD84DBE66F71CA121581598FEA669892DBDE46507DF3C8028BBD8FD4E678557621141945171C" decryptionKey="D14678D1FB1777E10316163F6D97071CDF2A447FA15C172DC9525BA397BB0610" validation="SHA1" decryption="AES" />
<pages enableViewStateMac="true"/>
如果我刪除了機器密鑰,那么最初創建的用戶可以再次登錄,而新創建的用戶則不能。
為什么添加一個machinekey會改變現有用戶是否可以登錄,因為密碼是經過哈希加密的?
默認情況下,.Net Framework 4使用SHA256。 請確保兩個地方的算法相同,並嘗試使用SHA1或SHA256。
<membership ... hashAlgorithmType="SHA1">
<providers>
...
</providers>
</membership>
<machineKey ... validation="SHA1" decryption="AES" />
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.