我一直为大多数身份验证子系统存储密码哈希和盐,但我注意到默认的 IdentityUser 类只有哈希和 Security邮票字段,但没有盐值。
是否存储了半途而废的盐值,SecurityStamp 在这方面是否添加了任何安全性,或者应该扩展用户并添加 HashSalt 字段?
最佳答案
Identity 将密码哈希和盐存储在数据库中的同一字段中。这是它如何工作的一个很好的解释:https://stackoverflow.com/a/20622428/809357
至于安全标记 - 它与密码或哈希无关。这仅指示数据库中有关用户的信息是否已更改,并与 auth-cookie 中的值进行比较。安全标记作为声明放入 auth-cookie 中。密码哈希值永远不会出现在 cookie 上。
关于asp.net - `SecurityStamp` 类上的标识 `User` 是否减少了存储哈希盐的需要?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34057091/