我正在使用Asp。用于生成密码重置令牌的Net Identity。
string Token = userManager.GeneratePasswordResetToken(userId);
上面的代码给了我一个大长度的令牌。是否可以生成长度较短的密码重置令牌?
您可以使用TotpSecurityStampBasedTokenProvider生成6位数:
public class ResetPasswordTokenProvider : TotpSecurityStampBasedTokenProvider<OriIdentityUser>
{
public const string ProviderKey = "ResetPassword";
public override Task<bool> CanGenerateTwoFactorTokenAsync(UserManager<OriIdentityUser> manager, OriIdentityUser user)
{
return Task.FromResult(false);
}
}
在启动类中添加:
services.AddIdentity<IdentityUser, IdentityRole>(options =>
{
options.Tokens.PasswordResetTokenProvider = ResetPasswordTokenProvider.ProviderKey;
})
.AddDefaultTokenProviders()
.AddTokenProvider<ResetPasswordTokenProvider>(ResetPasswordTokenProvider.ProviderKey);
您的密码重置令牌需要是加密随机的,这意味着给定一组使用过的令牌,下一个令牌应该是不可能猜测的。它还需要涵盖足够大的一组可能的值,以至于暴力尝试所有这些值的速度都慢得不切实际。
您可以进行更改,使后者使用较小的可能值集——例如,在检查令牌之前,您可以在密码重置页面/操作中添加1秒的延迟。您的用户几乎不会注意到很少使用的页面上的延迟,但攻击者将无法快速尝试大量代币。
所以,首先你需要得到一个加密随机数:
var random = new byte[8];
using (var rng = System.Security.Cryptography.RandomNumberGenerator.Create())
rng.GetBytes(random);
我在这里放了8字节,但你可以把它做成你想要的任何长度。
接下来,你需要把它做成一个漂亮的可粘贴字符串。你可以通过unicode转换来做到这一点,但我发现base64更可靠:
Convert.ToBase64String(random).TrimEnd('=');
将其与8字节一起使用将为您提供64位可能的值和一个10个字符的字符串。使用4将为您提供32位(在低安全性站点上进行缓慢的令牌检查时可能就足够了)和一个5个字符的字符串。
我有一个理想的解决方案,它建立在这里找到的正确答案的基础上。首先,您必须在有问题的类中注入IMemoryCache。
public class ResetController : ControllerBase
{
private readonly IMemoryCache _memoryCache;
public ResetController(IMemoryCache memoryCache)
{
_memoryCache = memoryCache;
}
}
其次,内存缓存允许您创建一个存储在缓存中的键值对关系,以便以后可以使用键检索值。在这种情况下,值是实际生成的令牌,密钥是变量truncatedtoken。
var token = await _userManager.GeneratePasswordResetTokenAsync(user);
string tokentruncated;
using (RandomNumberGenerator rng = new RNGCryptoServiceProvider())
{
byte[] tokenData = new byte[32];
rng.GetBytes(tokenData);
tokentruncated = Convert.ToBase64String(tokenData);
}
var cacheEntryOptions = new MemoryCacheEntryOptions()
.SetSlidingExpiration(TimeSpan.FromDays(1));
_memoryCache.Set(tokentrunc, token, cacheEntryOptions);
一旦发送了确认令牌(truncatedtoken)并且用户准备好重置密码。truncatedtoken密钥用于检索实际的令牌。
string token;
_memoryCache.TryGetValue(truncatedtoken, out token);
var result = await _userManager.ResetPasswordAsync(user, token, "New password");
不使用TryGetValue,您还可以使用检索令牌;
string token = _memoryCache.Get<string>(truncatedtoken);
用较短的代码替换长代码并存储在应用内缓存中。
生成时:
var token = UserManager.GeneratePasswordResetToken(user.Id);
var guidCode = GenerateCustomToken(); //use this https://stackoverflow.com/a/1668371/631527
CacheHelper.AddToCache(guid, token); //add it to MemoryCache.Default
var resetUrl = $"https://.....com/password-reset/{guidCode}/{userName}";
检查时:
//get guidCode from the request in your GET or POST controller
var token = CacheHelper.GetValue(guidCode); //retrieve it from cache
var result = UserManager.ResetPassword(user.Id, token, model.Password);
一件事是生成自己的8位GUID并将其发送给用户,然后拥有自己的查找表来获得真正的令牌。