Сравните пароль из базы данных для обновления пароля

Question

Сравните пароль из базы данных для обновления пароля

2

Вот как я создаю пользователя для загрузки моей базы данных

if (!context.Users.Any())
{
    var userStore = new UserStore<ApplicationUser>(context);
    var userManager = new UserManager<ApplicationUser>(userStore);
    userManager.Create(user, "P@ssw0rd");
    context.AspNetUsersExtendedDetails.AddOrUpdate(userExtended);
    context.SaveChanges();

}

Проблема возникает, когда я пытаюсь обновить свой пароль следующим образом:

var userStore = new UserStore<ApplicationUser>(dbContext);
var userManager = new UserManager<ApplicationUser>(userStore);

var currentPasswordHash = userManager.PasswordHasher.HashPassword(Input.CurrentPassword);
if(user.PasswordHash == currentPasswordHash)
{
    var passwordHash = userManager.PasswordHasher.HashPassword(Input.NewPassword);
    user.PasswordHash = passwordHash;
    dbContext.SaveChanges();
    logger.Info(AspNetEventLogs.Update + " Password updated for User: " + user.UserName);
}
else
{
    logger.Error(AspNetEventLogs.Error + " Current password incorrect");
}

Я не могу получить хэши, чтобы соответствовать вообще. Метод, который я использовал для создания пользователя и хеш-пароль, аналогичен. Не знаю, что еще я могу сделать.

JianYA 25 сен. 2018, в 16:51

Источник

0

Хотя ваш вопрос интересен, пожалуйста, рассмотрите возможность использования соли для хранения ваших паролей.
Pac0 25 сен. 2018, в 14:37
0

@CamiloTerevinto Что такое метод ComparePassword?
JianYA 25 сен. 2018, в 14:38
0

Ой, я думал, что это были некоторые пользовательские методы, я привык использовать другие внешние библиотеки, такие как надувной замок. Спасибо за информацию.
Pac0 25 сен. 2018, в 14:39
0

@CamiloTerevinto спасибо за вашу помощь. Я пошел с методом VerifyHashedPassword.
JianYA 25 сен. 2018, в 14:44
0

@CamiloTerevinto Упс, реакция коленного рефлекса.
Panagiotis Kanavos 25 сен. 2018, в 14:47
0

@CamiloTerevinto отметил. Будет обновлен мой код, чтобы сделать это также.
JianYA 25 сен. 2018, в 14:47
0

@CamiloTerevinto так, разве вы не должны превратить свои комментарии в ответ? Как я понял, проблема ОП была решена благодаря им.
Pac0 25 сен. 2018, в 16:10

Показать ещё 5 комментариев

Теги:

c#

asp.net-mvc

asp.net-identity

1 ответ

Ещё вопросы

Хотя ваш вопрос интересен, пожалуйста, рассмотрите возможность использования соли для хранения ваших паролей.
@CamiloTerevinto Что такое метод ComparePassword?
Ой, я думал, что это были некоторые пользовательские методы, я привык использовать другие внешние библиотеки, такие как надувной замок. Спасибо за информацию.
@CamiloTerevinto спасибо за вашу помощь. Я пошел с методом VerifyHashedPassword.
@CamiloTerevinto Упс, реакция коленного рефлекса.
@CamiloTerevinto отметил. Будет обновлен мой код, чтобы сделать это также.
@CamiloTerevinto так, разве вы не должны превратить свои комментарии в ответ? Как я понял, проблема ОП была решена благодаря им.

Camilo Terevinto · Accepted Answer · 2018-09-25T14-39-00.000Z

Если вы посмотрите на исходный код PasswordHasher.HashPassword, вы увидите следующее:

using (var deriveBytes = new Rfc2898DeriveBytes(password, SaltSize, PBKDF2IterCount))
{
    salt = deriveBytes.Salt;
    subkey = deriveBytes.GetBytes(PBKDF2SubkeyLength);
}

Таким образом, новая соль и подразделение генерируются, когда вы его вызываете. Вот почему ваш чек будет никогда (насколько то, что было доказано, что) возвращают true.

Для этой конкретной цели PasswordHasher имеет метод VerifyHashedPassword который может воссоздать хеш с помощью сохраненной соли и подраздела - это то, что вызывается при входе в систему с Identity.

Обратите внимание, однако, что вашему методу не хватает обновления пользовательского SecurityStamp, который необходимо обновить при изменении пароля для целей безопасности.

Кроме того, обратите внимание, что все эти ручные работы, которые вы делаете, уже были UserManager.UpdatePasswordAsync в основных библиотеках Identity, и все, что вам нужно сделать, это вызвать UserManager.UpdatePasswordAsync который будет проверять пароль перед использованием нового.