c# – 如何减少Asp.Net Identity中的密码重置令牌长度?

前端之家收集整理的这篇文章主要介绍了c# – 如何减少Asp.Net Identity中的密码重置令牌长度?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我使用Asp.Net Identity生成密码重置令牌.
string Token = userManager.GeneratePasswordResetToken(userId);

上面的代码给了我一个很长的令牌.
是否可以生成短长度的密码重置令牌?

解决方法

您的密码重置令牌需要加密随机 – 这意味着给定一组使用过的令牌,下一个令牌应该是无法猜测的.它还需要覆盖一组足够大的可能值,这些暴力尝试所有这些值都是不切实际的慢.

您可以进行更改以使后者使用较小的可能值集合 – 例如,您可以在检查令牌之前向密码重置页面/操作添加1秒延迟.您的用户几乎不会注意到很少使用的页面上的延迟,但攻击者将无法快速尝试大量令牌.

所以,首先你需要获得一个加密随机数:

var random = new byte[8];
using (var rng = System.Security.Cryptography.RandomNumberGenerator.Create())
    rng.GetBytes(random);

我在这里放了8个字节,但你可以根据需要设置它.

接下来,您需要将其变成一个漂亮的可复制粘贴字符串.您可以使用unicode转换执行此操作,但我发现base 64更可靠:

Convert.ToBase64String(random).TrimEnd('=');

使用8个字节将为您提供64位可能的值和10个字符串.使用4将为您提供32位(可能在低安全性站点上进行慢速令牌检查)和5个字符串.

猜你在找的C#相关文章