0

我正在开发一个应用程序,员工将首先通过输入登录 ID 和密码注册到系统。密码经过散列和加盐处理并存储在登录表中(这两个值都与 loginID 值一起存储)。但是,当我通过代码并登录到应用程序(在注册过程之后)时,哈希值和盐值永远不会匹配。

当他们登录系统时,我将如何验证用户的密码?

加密功能: 

protected static void EncryptPassword(eWebEmployee oEmp)
{
    // Create Hash & Salt
    sysSecurity oSecurity = new sysSecurity();
    oEmp.EmpPasswordSalt = oSecurity.CreateSalt(5);
    oEmp.EmpPasswordHash = oSecurity.CreatePasswordHash(oEmp.EmpPasswordSalt, oEmp.EmpPassword);        
}

数据库调用: 

oDbConn.Open();
DbDataReader oDbDataReader = oDbCommand.ExecuteReader();
while (oDbDataReader.Read())
{
    if (!oDbDataReader.IsDBNull(0) && !oDbDataReader.IsDBNull(1))
    {
        if (oEmp.EmpPasswordSalt == oDbDataReader.GetString(1)
            && oEmp.EmpPasswordHash == oDbDataReader.GetString(0))
        {
            return true;
        }
        else
        {
            return false;
        }
    }
    else
    {
        return false;
    }
}
oDbConnection.Close();
}
4

2 回答 2

2

我阅读您的代码的方式每次都会创建一个新的盐。您应该从数据库中获取盐,使用用户提供的密码计算哈希,然后将哈希与存储在数据库中的哈希进行比较。如果它们相等,则用户输入了正确的密码。仅在注册时创建新盐。

于 2012-07-11T13:58:05.780 回答
1

理解代码的目的有点困难,但通常您使用盐值和密码字符串创建散列。当您再次登录时,您使用相同的盐值执行完全相同的操作。然后将密码哈希与您的数据库中的密码进行比较。

于 2012-07-11T13:59:50.347 回答