原理
有一個(gè)好的做法是不將實(shí)際的口令存儲在數(shù)據(jù)庫中,而是存儲它們加密后的版本。當(dāng)我們需要對用戶進(jìn)行鑒定時(shí),只是對用戶的口令再進(jìn)行加密,然后將它與系統(tǒng)中的加密口令進(jìn)行比較即可。
在ASP中,我們不得不借助外部對象來加密字符串。而.NET SDK解決了這個(gè)問題,它在System.Web.Security名稱空間中的FormsAuthentication類中提供了HashPasswordForStoringInConfigFile方法,這個(gè)方法的目的正如它的名字所提示的,就是要加密存儲在Form表單的口令。
例子
HashPasswordForStoringInConfigFile方法使用起來非常簡單,它支持用于加密字符串的“SHA1”和“MD5”散列算法。為了看看“HashPasswordForStoringInConfigFile”方法的威力,讓我們創(chuàng)建一個(gè)小小的ASP.NET頁面,并且將字符串加密成SHA1和MD5格式。下面是這樣的一個(gè)ASP.NET頁面源代碼:
ASPX文件:
<%@ Page language="c#" Codebehind="loginform.aspx.cs" AutoEventWireup="false" Inherits="konson.log.loginform" %>
Code Behind文件:
using System;
using System.Collections;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Web;
using System.Web.SessionState;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.HtmlControls;
using System.Web.Security;
namespace konson.log
{
public class loginform : System.Web.UI.Page
{
protected System.Web.UI.WebControls.TextBox userid;
protected System.Web.UI.WebControls.Button login;
protected System.Web.UI.WebControls.Button cancel;
protected System.Web.UI.WebControls.TextBox pwd;
string epwd;
private void Page_Load(object sender, System.EventArgs e)
{}
#region Web Form Designer generated code
override protected void OnInit(EventArgs e)
{
InitializeComponent();
base.OnInit(e);
}
private void InitializeComponent()
{
this.login.Click += new System.EventHandler(this.login_Click);
this.Load += new System.EventHandler(this.Page_Load);
}
#endregion
private void login_Click(object sender, System.EventArgs e)
{
epwd=FormsAuthentication.HashPasswordForStoringInConfigFile(pwd.Text, "SHA1");
//epwd=FormsAuthentication.HashPasswordForStoringInConfigFile(pwd.Text, "MD5");
Response.Write(epwd);
}
}
}
上面的代碼中,你只要把加密后的epwd串寫時(shí)數(shù)據(jù)庫就ok了。加密口令就是這么簡單。