MVC-3, wo das Kennwort des Benutzers verschlüsseln?

Habe ich mein eigenes Passwort-Verschlüsselung-dll, die ich benutze, um zu überprüfen das Kennwort des Benutzers, wenn Sie sich anmelden, dies ist auf die in meinem Benutzer-Entität.

Nun habe ich die Möglichkeit geschaffen, für einen Benutzer zu registrieren, die ist in Ordnung, außer die Passwörter sind doch verschlüsselt werden.

Meine Frage ist ganz einfach, wo sollte ich die Verschlüsselung von Passwort des neuen Benutzers? Ich bin mir nicht sicher, wie ich mir bewusst bin, dass das Passwort des Benutzers sollte nicht im Klartext übermittelt, daher weiß ich nicht, wo der beste Ort, um rufen Sie die Verschlüsselungs-Funktion:

  • Entität "Benutzer" (wo die Verschlüsselungs-dll bereits für die Validierung verwendet).
  • Benutzer-repository, wo die save-user-Methode ist.
  • User-controller in denen die Erstellung von Ansichten gesteuert werden.
  • Woanders, dass ich noch nicht betrachtet!

Vielen Dank

InformationsquelleAutor XN16 | 2012-08-17
  1. 6

    Zunächst alle, für die client - server-Kommunikation, dann würde ich dir empfehlen für die Verwendung von SSL für sensible Informationen (wie Passwörter), die nicht übertragen werden in nur-text-format.

    Danach, es ist die gängige Praxis nicht, um Kennwörter zu speichern überall (sogar mit Verschlüsselung, aber die Hash-Werte von Ihnen.

    Kann man die hash-Funktion auf die set-Methode des password-Eigenschaft. Hier ist ein Beispiel:

    public class Member
{
    private string _username;

    public string Username
    {
        get { return _username; }
        set { _username = value.ToLowerInvariant(); }
    }

    public string Passhash {get;set;}

    public void SetPassword(string password)
    {
        Passhash = Crypto.Hash(password);
    }

    public bool CheckPassword(string password)
    {
        return string.Equals(Passhash, Crypto.Hash(password));
    }
}

public static class Crypto
{
    public static string Hash(string value)
    {
        return Convert.ToBase64String(
            System.Security.Cryptography.SHA256.Create()
            .ComputeHash(Encoding.UTF8.GetBytes(value)));
    }
}

    Edit:

    Als Craig Stuntz darauf hingewiesen, dass der Hash-code in diesem Beispiel ist sehr einfach. Siehe den folgenden Beitrag für Sie ein sicherer Weg, um hash-Passwort: Hashing der Passwörter mit MD5 oder sha-256 C#

    • +1. Speichern von hashes, nicht verschlüsselte Passwörter.
    • Dank sehr viel, ich mag diese Antwort, aber ich bin mit Entity Framework und sobald ich mein Passwort ändern Eigenschaft auf eine Passwort-Klasse im Gegensatz zu einem string-es wird nicht die Daten aus der Datenbank, die Sinn macht. Haben Sie eine Idee, wie man dieses Problem umgehen?
    • Änderte den code nach Ihrer Anfrage.
    • Dank sehr viel. Mit ein paar mehr tweaks, alles funktioniert wie erwartet!
    • Wenn Sie mit un-salted SHA, Mach dir nichts vor, du tust viel besser als das speichern von Klartext. Verwenden Sie ein off-the-shelf, bcrypt-basiertes system.
    InformationsquelleAutor M. Mennan Kara
  2. 5

    In einem service-layer Methode, die verantwortlich für das tun 2 Dinge:

    1. rufen Sie Ihre Verschlüsselung Ebene zu hash das Passwort (nicht verschlüsseln)
    2. rufen Sie Ihre Benutzer-repository zur Speicherung der user-Entität in der Datenbank mit dem Hash-Passwort

    Die controller-action wird natürlich sprechen, die service-Schicht.

    InformationsquelleAutor Darin Dimitrov
  3. 3

    Nicht machen Sie Ihre eigenen Passwort-hashing und denken Sie gar nicht über die Verschlüsselung von Passwörtern.

    Die Mühe machen, diese sichere sind enorm. Verwenden Sie eine vorhandene Methode basiert auf den öffentlich verfügbaren Spezifikationen und algorithmen.

    InformationsquelleAutor Jeroen Wiert Pluimers
  4. 0
    //ENCODE

public string base64Encode(string sData)
{
try
{
byte[] encData_byte = new byte[sData.Length];

encData_byte = System.Text.Encoding.UTF8.GetBytes(sData);

string encodedData = Convert.ToBase64String(encData_byte);

return encodedData;

}
catch(Exception ex)
{
throw new Exception("Error in base64Encode" + ex.Message);
}
}

//DECODE

public string base64Decode(string sData)
    {
        try
        {
            System.Text.UTF8Encoding encoder = new System.Text.UTF8Encoding();

            System.Text.Decoder utf8Decode = encoder.GetDecoder();

            byte[] todecode_byte = Convert.FromBase64String(sData);

            int charCount = utf8Decode.GetCharCount(todecode_byte, 0, todecode_byte.Length);

            char[] decoded_char = new char[charCount];

            utf8Decode.GetChars(todecode_byte, 0, todecode_byte.Length, decoded_char, 0);

            string result = new String(decoded_char);

            return result;
        }
        catch (Exception ex)
        {
            throw new Exception("Error in base64Decode" + ex.Message);
        }
    }

How to call 

string encode= base64Encode(val);

string decode= base64Decode(val);


This is very helpful to decode and encode your string(password)
    InformationsquelleAutor Thivan Mydeen
Schreibe einen Kommentar