今天我將我的web應用程序移至.net 4.0並且Forms Auth剛剛停止工作。經過幾個小時的挖掘我的SqlMembershipProvider(簡化版本的內置SqlMembershipProvider)後,我發現HMACSHA256散列不一致。這是加密方法:.NET 4.0中的錯誤加密錯誤
internal string EncodePassword(string pass, int passwordFormat, string salt)
{
if (passwordFormat == 0) // MembershipPasswordFormat.Clear
return pass;
byte[] bIn = Encoding.Unicode.GetBytes(pass);
byte[] bSalt = Convert.FromBase64String(salt);
byte[] bAll = new byte[bSalt.Length + bIn.Length];
byte[] bRet = null;
Buffer.BlockCopy(bSalt, 0, bAll, 0, bSalt.Length);
Buffer.BlockCopy(bIn, 0, bAll, bSalt.Length, bIn.Length);
if (passwordFormat == 1)
{ // MembershipPasswordFormat.Hashed
HashAlgorithm s = HashAlgorithm.Create(Membership.HashAlgorithmType);
bRet = s.ComputeHash(bAll);
} else
{
bRet = EncryptPassword(bAll);
}
return Convert.ToBase64String(bRet);
}
傳遞相同的密碼和salt兩次返回不同的結果!它在.NET 3.5中工作完美。
任何人都知道任何重大更改,還是已知的錯誤?
更新:當我指定SHA512作爲哈希算法,一切工作正常,所以我相信這是在實施HMACSHA256散列算法的缺陷在.NET 4.0中
謝謝! 安德烈