摘要

　　ASP.NET Forms 身份验证允许用户将凭据(用户名和密码)输入到 Web Form 来标识其身份。在收到这些凭据时，Web 应用程序可以根据数据源来检查这些凭据，从而对用户进行身份验证。

　　本模块描述如何使用密码哈希安全地将用户凭据存储在 SQL Server 中，以及如何根据包含在 SQL Server 中的帐户数据库对用户进行身份验证。

　　预备知识

　　安全地存储用户凭据包含两个关键概念：

　　• 存储密码摘要。出于安全性考虑，请不要将密码明文存储在数据库中。本模块描述如何创建和存储用户密码的单向哈希而非密码本身。如果要存储加密的用户密码，建议选择这种方法，因为它避免了与加密技术相关的密钥管理问题。

　　为增加安全性并减轻与字典攻击相关的威胁，本模块中描述的方法在创建密码哈希前，将 salt(以加密方式生成的随机数)与密码结合起来。

　　• 重要事项 不将密码存储在数据库中的一个缺点是，一旦用户忘记密码，则无法恢复。因而，应用程序应使用密码提示，并将它们与密码摘要一起存储在数据库中。

　　• 验证用户输入。当将用户输入传递给 SQL 命令时，例如比较语句或模式匹配语句中的字符串，应非常小心地验证此输入，以确保最终的命令不包含语法错误，并且还要确保黑客不会使您的应用程序运行任意 SQL 命令。在登录过程中验证提供的用户名特别重要，因为应用程序的安全模型完全取决于是否能够正确而安全地对用户进行身份验证。

　　创建一个有登录页的 Web 应用程序

　　此过程创建一个简单的 Visual C# Web 应用程序，它包含一个用户可以输入用户名和密码的登录页。

　　要创建一个有登录页的 Web 应用程序，请执行下列步骤：

　　• 启动 Visual Studio .NET 并创建一个新的名为 FormsAuthSQL 的 Visual C# ASP.NET Web 应用程序。

　　• 使用解决方案资源管理器将 WebForm1.aspx 重命名为 Logon.aspx

　　• 将表 1 中列出的控件添加到 Logon.aspx 中来创建简单的登录窗体。

　　表 1：Logon.aspx 控件控件类型文本ID

　　Label

　　User Name:

　　-

　　Label

　　Password

　　-

　　Text Box

　　-

　　txtUserName

　　Text Box

　　-

　　txtPassword

　　Button

　　Register

　　btnRegister

　　Button

　　Logon

　　btnLogon

　　Label

　　-

　　lblMessage

　　您的 Web 页应与图 1 中所示的页类似。

　　图 1. 登录页 Web 窗体

　　• 将 txtPassword 的 TextMode 属性设置为 Password。

　　配置 Web 应用程序进行 Forms 身份验证

　　此过程编辑应用程序的 Web.config 文件来配置应用程序以进行 Forms 身份验证。

　　要配置 Web 应用程序以进行 Forms 身份验证，请执行下列步骤：

　　1. 使用解决方案资源管理器打开 Web.config。

　　2. 定位到 元素并将 mode 属性更改为 Forms。

　　3. 将下列 元素作为 元素的子元素进行添加，并设置 loginUrl、name、timeout 和 path 属性，如下所示：

　　ms loginUrl="logon.aspx" name="sqlAuthCookie" timeout="60" path="/">

　　4. 将下列 元素添加到 元素下这一步的目的是只允许经过身份验证的用户访问应用程序。以前建立的 元素的 loginUrl 属性将未经过身份验证的请求重定向到 logon.aspx 页。

　　开发生成哈希和 Salt 值的函数

　　此过程向 Web 应用程序添加两个实用工具方法;一个方法生成一个随机 salt 值，另一个方法根据提供的密码和 salt 值创建哈希。

　　要开发生成哈希和 salt 值的函数，请执行下列步骤：

　　1. 打开 Logon.aspx.cs 并将下列 using 语句添加到位于文件顶部的现有 using 语句下。

　　using System.Security.Cryptography;

　　using System.Web.Security;

　　2. 将下列静态方法添加到 WebForm1 类中，用于生成随机 salt 值并作为 Base 64 编码字符串返回此值。

　　private static string CreateSalt(int size)

　　{

　　// Generate a cryptographic random number using the cryptographic

　　// service provider

　　RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();

　　byte[] buff = new byte[size];

　　rng.GetBytes(buff);

　　// Return a Base64 string representation of the random number

　　return Convert.ToBase64String(buff);

　　}

　　3. 添加下列静态方法以根据提供的密码和 salt 值生成哈希值。

　　private static string CreatePasswordHash(string pwd, string salt)

　　{

　　string saltAndPwd = String.Concat(pwd, salt);

　　string hashedPwd =

　　FormsAuthentication.HashPasswordForStoringInConfigFile(

　　saltAndPwd, "SHA1");

　　return hashedPwd;

　　}

　　创建用户帐户数据库

　　此过程在 SQL Server 中创建一个新的用户帐户数据库，此数据库包含一个用户表和一个用于查询用户数据库的存储过程。

　　要创建用户帐户数据库，请执行下列操作：

　　1. 在 Microsoft SQL Server programs 菜单上，单击 Query Analyzer，然后连接到本地 SQL Server。

　　2. 输入下列 SQL 脚本。注意，必须用自己的计算机名称替换此脚本末尾的“LocalMachine”。

　　USE master

　　GO

　　-- create a database for the security information

　　IF EXISTS (SELECT * FROM　 master..sysda

　　tabases WHERE　name = 'UserAccounts')

　　DROP DATABASE UserAccounts

　　GO

　　CREATE DATABASE UserAccounts

　　GO

　　USE UserAccounts

　　GO

　　CREATE TABLE [Users] (

　　[UserName] [varchar] (255) NOT NULL ,

　　[PasswordHash] [varchar] (40) NOT NULL ,

　　[salt] [varchar] (10) NOT NULL,

　　CONSTRAINT [PK_Users] PRIMARY KEY　CLUSTERED

　　(

　　[UserName]

　　)　ON [PRIMARY]

　　) ON [PRIMARY]

　　GO

　　-- create stored procedure to register user details

　　CREATE PROCEDURE RegisterUser

　　@userName varchar(255),

　　@passwordHash varchar(40),

　　@salt varchar(10)

　　AS

　　INSERT INTO Users VALUES(@userName, @passwordHash, @salt)

　　GO

　　-- create stored procedure to retrieve user details

　　CREATE PROCEDURE LookupUser

　　@userName varchar(255)

　　AS

　　SELECT PasswordHash, salt

　　FROM Users

　　WHERE UserName = @userName

　　GO

　　-- Add a login for the local ASPNET account

　　-- In the following statements, replace LocalMachine with your

　　-- local machine name

　　exec sp_grantlogin [LocalMachineASPNET]

　　-- Add a database login for the UserAccounts database for the ASPNET account

　　exec sp_grantdbaccess [LocalMachineASPNET]

　　-- Grant execute permissions to the LookupUser and RegisterUser stored procs

　　grant execute on LookupUser to [LocalMachineASPNET]

　　grant execute on RegisterUser to [LocalMachineASPNET]

　　3. 运行查询来创建 UserAccounts 数据库。

　　4. 退出 Query Manager。

　　使用 ADO.NET 将帐户详细信息存储在数据库中

　　此过程修改 Web 应用程序代码，以将提供的用户名、生成的密码哈希和 salt 值存储在数据库中。

　　要使用 ADO.NET 将帐户详细信息存储在数据库中，请执行下列操作：

　　• 返回到 Visual Studio .NET 并双击 Web 窗体上的 Register 按钮来创建按钮单击事件处理程序。

　　• 将下列代码添加到方法中。

　　string salt = CreateSalt(5);

　　string passwordHash = CreatePasswordHash(txtPassword.Text,salt);

　　try

　　{

　　StoreAccountDetails( txtUserName.Text, passwordHash, salt);

　　}

　　catch(Exception ex)

　　{

　　lblMessage.Text = ex.Message;}

　　• 将下列 using 语句添加到位于文件顶部的现有 using 语句下。

　　using System.Data.SqlClient;

　　• 使用下列代码添加 StoreAccountDetails 实用工具方法。此代码使用 ADO.NET 连接到 UserAccounts 数据库，并将提供的用户名、密码哈希和 salt 值存储在 Users 表中。