AspNetSqlMembershipProvider 和 PasswordRecovery 控件

Question

我的场景是我有一个 asp.net 2.0 应用程序 Web 应用程序，其 AspNetSqlMembershipProvider 属性为：

enablePasswordRetrieval=“false”和passwordFormat=“Hashed”

但现在需要将未加密的用户密码存储为明文并将其显示给超级用户。 我通过将 AspNetSqlMembershipProvider 属性更改为：

enablePasswordRetrieval=“true”和passwordFormat=“Clear”

问题在于PasswordRecovery 控件的行为方式。 根据我的阅读，它会检查 AspNetSqlMembershipProvider 标记的属性，如果enablePasswordRetrieval =“true”且passwordFormat =“Clear”，它将尝试检索密码，当密码仍然有效地存储为散列密码时，这会导致问题。 当 AspNetSqlMembershipProvider 属性为enablePasswordRetrieval =“true”和passwordFormat =“Clear”时，是否有任何方法可以强制PasswordRecovery控件重置而不检索密码？

抱歉冗长的解释，一如既往地非常感谢所有帮助/指示。 谢谢。

Answer 1

我认为尝试使用两种方法在数据库中存储密码不会有任何运气。

我的建议是更改具有哈希密码的帐户的密码，以便它们以纯文本形式存储并从那里继续。

或者，如果您必须存储一些散列密码和一些明文密码，则必须考虑扩展会员资格提供程序来支持这一点。 根据我的经验，这往往带来的麻烦大于其价值。

Answer 2

根据我的经验，更改密码格式是有问题的——我认为没有办法让提供商自动为您处理这个问题。

您可能需要考虑强制哈希用户在下次登录时更改密码，或者只是编写一个在数据库中执行并重置其密码的过程。 密码表中有一列（我现在看不到）描述了格式，因此您可以将该值从散列更改为明文，然后散列值将是其明文密码，并且应该适用于登录。

Answer 3

另外，请记住，以明文形式存储密码会产生法律影响。 如果这些密码被滥用或泄露，您将对所有受到损害的数据负责（包括通过您不拥有但用户使用相同密码的任何其他服务访问的数据）。