有没有办法使用DNN登录来验证来自其他网络应用的用户?
我们有一个使用DNN的主站点,用户登录存储在asp net Membership表中。从我读过的内容来看,密码是使用机器密钥加密然后加盐的。我看到这些信息的位置,但似乎无法使用此方法正确加密密码。
我正在尝试在我们的DNN网站所在的同一台服务器上使用Coldfusion Web应用程序,但它不想工作。您认为使用ColdFusion加密功能会向前推进:
Encrypt(passwordstring, key [, algorithm, encoding, IVorSalt, iterations])
无论我尝试什么,我都没有得到匹配的价值。
非常感谢任何帮助,见解或指向正确的方向!
答案 0 :(得分:3)
(编辑:原始答案在所有情况下都不起作用。经过大幅修改......)
根据我的阅读,DNN使用" SHA1"哈希默认情况下。发布的帖子@barnyr显示它只是哈希连接的盐和密码,但有一些曲折。
hash()所做的。 (见下面的演示)鉴于CF9的Hash函数不接受二进制文件(CF11支持),我认为不可能仅使用本机CF函数复制结果。相反,我建议将字符串解码为二进制,然后直接使用java:
<强>代码:
<cfscript>
thePassword = "DT!@12";
base64Salt = "+muo6gAmjvvyy5doTdjyaA==";
// extract bytes of the salt and password
saltBytes = binaryDecode(base64Salt, "base64");
passBytes = charsetDecode(thePassword, "UTF-16LE" );
// next combine the bytes. note, the returned arrays are immutable,
// so we cannot use the standard CF tricks to merge them
ArrayUtils = createObject("java", "org.apache.commons.lang.ArrayUtils");
dataBytes = ArrayUtils.addAll( saltBytes, passBytes );
// hash binary using java
MessageDigest = createObject("java", "java.security.MessageDigest").getInstance("SHA-1");
MessageDigest.update(dataBytes);
theBase64Hash = binaryEncode(MessageDigest.digest(), "base64");
WriteOutput("theBase64Hash= "& theBase64Hash &"<br/>");
</cfscript>
差异演示:
<cfscript>
theEncoding = "UTF-16LE";
thePassword = "DT!@12";
base64Salt = "+muo6gAmjvvyy5doTdjyaA==";
// extract the bytes SEPARATELY
saltBytes = binaryDecode(base64Salt, "base64");
passBytes = charsetDecode(thePassword, theEncoding );
ArrayUtils = createObject("java", "org.apache.commons.lang.ArrayUtils");
separateBytes = ArrayUtils.addAll( saltBytes, passBytes );
// concatenate first, THEN extract the bytes
theSalt = charsetEncode( binaryDecode(base64Salt, "base64"), theEncoding );
concatenatedBytes = charsetDecode( theSalt & thePassword, theEncoding );
// these are the raw bytes BEFORE hashing
WriteOutput("separateBytes= "& arrayToList(separateBytes, "|") &"<br>");
WriteOutput("concatenatedBytes"& arrayToList(concatenatedBytes, "|") );
</cfscript>
<强>结果:
separateBytes = -6|107|-88|-22|0|38|-114|-5|-14|-53|-105|104|77|-40|-14|104|68|0|84|0|33|0|64|0|49|0|50|0
concatenatedBytes = -6|107|-88|-22|0|38|-114|-5|-14|-53|-105|104|-3|-1|68|0|84|0|33|0|64|0|49|0|50|0
答案 1 :(得分:2)
密码很可能没有加密,而是经过哈希处理。哈希与加密不同,因为它不可逆。
你不会使用ColdFusion的encrypt()函数,你可以使用它的hash()函数。
因此,您需要回答的问题是如何在CF中散列密码以便能够对DNN用户进行身份验证:
必须回答所有这些问题,以确定CF必须如何结合salt和用户提交的密码使用hash()函数。
我会做一些假设来提供答案。
如果我们假设正在进行小手术并且在使用SHA1散列密码之前将盐简单地附加到密码,那么您将能够像这样重现散列摘要:
<cfset hashDigest = hash(FORM.usersubmittedPassword & saltFromDB, "SHA1") />
答案 2 :(得分:1)
(发布新的回复以使“加密”过程与“哈希”分开)
对于“加密”密钥,DNN端使用标准算法,即DES,3DES或AES - 具体取决于您的machineKey设置。但是您需要在CF代码中找到一些差异。如果不知道您的实际设置,我会假设您现在使用的是默认3DES。
要加密的数据
加密值是salt和password的组合。但与散列一样,DNN使用UTF-16LE。不幸的是,ColdFusion的Encrypt()函数总是采用UTF-8,这会产生非常不同的结果。因此,您需要使用EncryptBinary函数。
// sample valus
plainPassword = "password12345";
base64Salt = "x7le6CBSEvsFeqklvLbMUw==";
hexDecryptKey = "303132333435363738393031323334353637383930313233";
// first extract the bytes of the salt and password
saltBytes = binaryDecode(base64Salt, "base64");
passBytes = charsetDecode(plainPassword, "UTF-16LE" );
// next combine the bytes. note, the returned arrays are immutable,
// so we cannot use the standard CF tricks to merge them
ArrayUtils = createObject("java", "org.apache.commons.lang.ArrayUtils");
dataBytes = ArrayUtils.addAll( saltBytes, passBytes );
加密算法
使用分组密码,ColdFusion默认为ECB mode。 (参见Strong Encryption in ColdFusion).NET默认为CBC模式,这需要额外的IV值。因此,您必须调整您的CF代码以匹配。
// convert DNN hex key to base64 for ColdFusion
base64Key = binaryEncode(binaryDecode( hexDecryptKey, "hex"), "base64");
// create an IV and intialize it with all zeroes
// block size: 16 => AES, 8=> DES or TripleDES
blockSize = 8;
iv = javacast("byte[]", listToArray(repeatString("0,", blocksize)));
// encrypt using CBC mode
bytes = encryptBinary(dataBytes, base64Key, "DESede/CBC/PKCS5Padding", iv);
// result: WBAnoV+7cLVI95LwVQhtysHb5/pjqVG35nP5Zdu7T/Cn94Sd8v1Vk9zpjQSFGSkv
WriteOutput("encrypted password="& binaryEncode( bytes, "base64" ));