我在.Net Core中开发了一个身份验证功能,我有一个API来创建一个用户的登录名和密码,我对密码进行了哈希,但我没有找到任何方法来比较哈希后的密码和用户的新输入。
我对密码进行了哈希处理,但我没有找到任何方法将哈希处理后的密码与用户的新输入进行比较。
我使用了microsoft.NET提供的哈希方法。
// generate a 128-bit salt using a secure PRNG
byte[] salt = new byte[128 / 8];
using (var rng = RandomNumberGenerator.Create())
{
rng.GetBytes(salt);
}
/// hashed will be stored in the DataBase as password
string hashed = Convert.ToBase64String(KeyDerivation.Pbkdf2(
password: password,
salt: salt,
prf: KeyDerivationPrf.HMACSHA1,
iterationCount: 10000,
numBytesRequested: 256 / 8));
当用户进行登录时,他发送了一个登录名和一个密码,我不知道如何将这个密码与数据库中的哈希密码进行比较?
如果我再次对密码进行哈希,它将会是一个不同的哈希值,所以这没有帮助。
有什么建议吗?我很惊讶,我没有找到关于这个问题的答案:(
谢谢!
UserInout : plaintext ==> 发送给认证服务。
创建账户:生成盐,用盐对给定的明文密码进行哈希,存储在账户信息中。
验证:从数据库中的账户信息中读取哈希值,用读取的盐分对给定的明文密码进行哈希,并将该哈希值与数据库中的哈希值进行比较。这是最简单的认证方式。
一定要始终使用为每个账户创建的独立哈希值,否则哈希值总是不同的,验证会失败。