`User` class 上的身份 `SecurityStamp` 是否减少了存储散列盐的需要?
Does the Identity `SecurityStamp` on a `User` class lessen the need to store the hash salt?
我一直为我的大多数身份验证子系统存储密码哈希和盐,但我注意到默认的 IdentityUser class 只有一个哈希和一个 Security戳字段,但没有盐值。
是否存储了被丢弃的 salt 值,SecurityStamp 在这方面增加了安全性,还是应该扩展用户并添加一个 HashSalt 字段?
Identity 将密码哈希和盐存储在数据库的同一字段中。这是一个很好的解释它是如何工作的:
至于安全戳 - 它与密码或哈希无关。这仅指示有关用户的信息是否已在数据库中更改并与 auth-cookies 中的值进行比较。 Security Stamp 作为声明放入 auth-cookie。 Cookie 中永远不会出现密码哈希值。
我一直为我的大多数身份验证子系统存储密码哈希和盐,但我注意到默认的 IdentityUser class 只有一个哈希和一个 Security戳字段,但没有盐值。
是否存储了被丢弃的 salt 值,SecurityStamp 在这方面增加了安全性,还是应该扩展用户并添加一个 HashSalt 字段?
Identity 将密码哈希和盐存储在数据库的同一字段中。这是一个很好的解释它是如何工作的:
至于安全戳 - 它与密码或哈希无关。这仅指示有关用户的信息是否已在数据库中更改并与 auth-cookies 中的值进行比较。 Security Stamp 作为声明放入 auth-cookie。 Cookie 中永远不会出现密码哈希值。