我在尝试使用 PHP 针对现有 ASP.NET 成员资格数据库对用户进行身份验证时遇到一些问题。我在网上搜索过,发现现有的答案似乎对我不起作用。即:
public static function Hash($password, $salt)
{
$decodedSalt = base64_decode($salt);
$utf = mb_convert_encoding($password, 'UTF-16LE', 'UTF-8');
return base64_encode(sha1($decodedSalt.$utf, true));
}
我认为问题的一部分在于密码哈希值实际上并不是使用 SHA-1 计算的,因为数据库中的值是 44 个字符长、base64 编码的字符串(这意味着输入可能是 256 位长)。我尝试使用 SHA-256 代替 SHA-1,但没有成功。我在 web.config 中找不到可以进一步加盐的机器密钥,并且当我在本地或生产服务器上运行时 ASP.NET 站点会生成相同的哈希值,所以我不知道为什么它们会这样不匹配。
Web.config 会员提供程序:
<add connectionStringName="MySqlMembershipConnection" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="false" requiresUniqueEmail="true" passwordFormat="Hashed" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="6" minRequiredNonalphanumericCharacters="0" passwordAttemptWindow="10" applicationName="/" autogenerateschema="true" name="MySqlMembershipProvider" type="MySql.Web.Security.MySQLMembershipProvider, mysql.web" />
示例密码should work:
$salt = 'Mu1tp8XzfKl8dSTVAZm44A=='; // Straight from the DB
$password = 'testing';
$expectedHash = 'TQN7m8OWIyBOKVwzegWSUBVq7o7+KWFBc46J+B77mLw=' // Straight from the DB
// When using the above Hash function with SHA-256 instead of SHA-1
$generatedHash = 'rpmTmtBfWoJz71ooQGQUIIyQJKd99qhYxMUI1yda0qE='
想法?知道为什么我的哈希与数据库中存储的内容不匹配(以及通过 ASP.NET 站点登录时它为什么/如何工作)?我尝试过更换哈希函数、反转密码/盐连接、在敲击计算机时大声喊叫,但这些似乎都没有帮助。