概述ASP.NETMembership

本来打算写一篇介绍如何实现用户登录功能的文章的，但因为时间有限，所以先介绍一下密码的散列和ASP.NET Membership

建网站原本是网站策划师、网络程序员、网页设计师等，应用各种网络程序开发技术和网页设计技术配合操作的协同工作。创新互联专业提供网站建设、成都网站建设,网页设计,网站制作(企业站、成都响应式网站建设、电商门户网站)等服务,从网站深度策划、搜索引擎友好度优化到用户体验的提升,我们力求做到极致!

1.加Salt散列

我们知道，如果直接对密码进行散列，那么黑客（统称那些有能力窃取用户数据并企图得到用户密码的人）可以对一个已知密码进行散列，然后通过对比散列值得到某用户的密码。换句话说，虽然黑客不能取得某特定用户的密码，但他可以知道使用特定密码的用户有哪些。

加Salt可以一定程度上解决这一问题。所谓加Salt，就是加点“佐料”。其基本想法是这样的——当用户***提供密码时（通常是注册时），由系统自动往这个密码里撒一些“佐料”，然后再散列。而当用户登录时，系统为用户提供的代码撒上同样的“佐料”，然后散列，再比较散列值，已确定密码是否正确。

这里的“佐料”被称作“Salt值”，这个值是由系统随机生成的，并且只有系统知道。这样，即便两个用户使用了同一个密码，由于系统为它们生成的salt值不同，他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户，但这个几率太小了（密码和salt值都得和黑客使用的一样才行）。

下面详细介绍一下加Salt散列的过程。介绍之前先强调一点，前面说过，验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。

2.ASP.NET Membership中的相关代码

（省略关于Membership的介绍若干字）

本文Anders Liu仅研究了SqlMembershipProvider，该类位于System.Web.dll，System.Web.Security命名空间中。

首先，要使用Membership，必须先用aspnet_regsql.exe命令来配置数据库，该工具会向现有数据库中添加一系列表和存储过程等，配置好的数据库中有一个表aspnet_Membership，就是用于存放用户帐户信息的。其中我们所关注的列有三个——Password、PasswordFormat和PasswordSalt。

Password存放的是密码的散列值，PasswordFormat存放用于散列密码所使用的算法，PasswordSalt就是系统生成的Salt值了。

3.小结

本文只是简单地介绍了加Salt散列的工作方式（而非原理）、ASP.NET Membership中对其的实现。通过本文大家虽然无法对加Salt加密的有点和原理“知其所以然”，但相信大家应该大致了解了这种方式的使用方法，并能通过修改Membership的代码实现自己的密码散列存储了。

由于时间有限，Anders Liu这篇文章写得很潦草，罗列了不少代码却没有系统性介绍，还望大家原谅。下一篇文章我将相对完整地介绍如何实现自己的用户登录（无需使用MembershipProvider，但同时也丧失了Login等控件为我们带来的便利）。

标题名称：概述ASP.NETMembership
网站链接：http://www.shufengxianlan.com/qtweb/news37/553837.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联