当用户通过输入用户名使用忘记密码字段时,我正在尝试加密要存储在用户表中的随机令牌。它还将向更改用户密码页面发送一封带有 URL 的电子邮件。这个 url 将有一个名为“key”的查询字符串参数。
即www.mysite.com/Changepassword?key=xfsdfsdffsdfiughjksdf.
一旦用户点击链接,他们就在这个页面上。我有一个函数可以通过 ResetToken 获取用户。如果它找到一个用户然后继续。
我需要一些建议:
【问题讨论】:
标签: c# encryption public-key-encryption
如果您想获得超级安全,使用cryptographically secure random number generator 就可以了。转换为十六进制是确保其 URL 安全的最简单方法:
byte[] bytes = new byte[8];
using (var rng = RandomNumberGenerator.Create())
{
rng.GetBytes(bytes);
}
string key = string.Join("", bytes.Select(b => b.ToString("X2")));
编辑请记住,电子邮件可能不安全,因此您的邮件有可能(尽管不太可能)在到达收件人之前被恶意第三方拦截。
【讨论】:
bytes 是一个字节数组,可以作为二进制(8)保存到数据库中。 key 是一个字符串,表示 8 个字节的十六进制代码,但 key 本身是 16 个字符。 Encoding.UTF8.GetBytes(key) 获取字符串并转换为字节,这将为您提供代表这 16 个字符的 16 个字节。如果您只有十六进制字符串,并且想要获取字节,则必须使用类似于this question 的答案。