验证 C# 应用程序在 php 中加密的密码

Question

在我的网站上有一个页面，客户可以在其中存储用于他们购买的应用程序的密码（为了方便起见，通常所有应用程序都使用一个密码）。使用 PHP 代码使用 bcrypt 对密码进行哈希处理：

if ( $app_pass != '' ){
  $mysalt= mcrypt_create_iv(22, MCRYPT_DEV_URANDOM);
  $options = [ 'cost' => 10, 'salt' => $mysalt,];
  $app_pass = password_hash( $app_pass, PASSWORD_BCRYPT, $options );
}

• if 语句中的$app_pass 是纯文本
• 后来变成bcrypted hash
• 然后将该哈希值存储在 MySQL 数据库中

当客户在他的 PC 上开始购买应用程序，输入登录名和密码，应用程序连接到 MySQL 数据库，检索 hashFromDb 并尝试使用BCryptHelper 类验证输入的密码：

BCryptHelper.CheckPassword(passwordbox.Password, hashFromDb)

但它返回错误代码：

在 DevOne.Security.Cryptography.BCrypt.dll 中发生“System.ArgumentException”类型的未处理异常

附加信息：无效的盐修订版

在 WPF 应用程序中根据 PHP 加密密码哈希验证用户输入的密码是否正确？

Answer 1

从BCrypt source code，System.ArgumentException 被这个逻辑抛出：

  if (salt[1] != '$') {
        minor = salt[2];
        if (minor != 'a' || salt[3] != '$') {
            throw new ArgumentException("Invalid salt revision");
        }

因此，似乎抛出异常是因为哈希不是BCrypt 支持的格式。

From the PHP docs, password_hash 与PASSWORD_BCRYPT 参数返回一个以$2y$ 开头的哈希，而C# 使用的BCrypt 实现期望以$2a$ 开头。

我建议使用不同的方法来生成哈希。

编辑：this Github thread 有一些很好的信息说明为什么会发生这种情况

Answer 2

扩展方法

static class ExtentionMetsodString
{
    public static string ReplaceAt(this string str,int startIdx , string replaceStr)
    {
        StringBuilder strBuilder = new StringBuilder(str);
        int length = replaceStr.Length;

        strBuilder.Remove(startIdx, length);
        strBuilder.Insert(startIdx, replaceStr);
        return strBuilder.ToString();
    }
}

用法

string test = "0123456";
string output = test.ReplaceAt(2, "ab"); // ouput : 01ab456

酷