Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

FAQについてまとめた。

詳細

パスワード要件

基本

基本ココで制限できますが、

ココで制限せずに、

  • サインアップや
  • パスワード変更画面

のUP側の実装で制限することも出来ます。

拡張

  • ユーザID、生年月日と一致しない
  • p@ssw0rdなどの定番パスワード

を弾く実装は別途必要になります。

パスワード・ハッシュ

ハッシュア・ルゴリズムは変えてもらってOKです。

既定(V1HashAlgorithm)では、

/// <summary>Version 1</summary>
/// <param name="password">password</param>
/// <returns>hashPassword</returns>
private string V1HashAlgorithm(string password)
{
  // $1$ バージョンの実装
  return "$1$" + "." +
    GetKeyedHash.GetSaltedPassword(
      password,                            // password
      EnumKeyedHashAlgorithm.MACTripleDES, // algorithm
      GetPassword.Generate(10, 3),         // key(pwd)
      10,                                  // salt length
      ASPNETIdentityConfig.StretchCount    // stretch count
    );
}

としており、

ココのGetKeyedHash.GetSaltedPasswordでは、

「key」.「saltByteのBase64」.「stretchCount」.「salt + rawPasswordをGetKeyedHashString?したもの」

という(Base64Url)文字列を返すので、最終的には、

「$1$」.「key」.「saltByteのBase64」.「stretchCount」.「salt + rawPasswordのGetKeyedHashString?

と言う文字列になり、これにより、

VerifyHashedPassword?の時に、

「$1$」.「key」.「saltByteのBase64」.「stretchCount」.「Password Hash」

の情報を見て、Raw Passwordの検証が可能になっています。

なお、「$1$」は、V1HashAlgorithm?のV1に対応しています。
EnumKeyedHashAlgorithm?の何を使用しているか?は、$1$=V1に紐付けられます。

この処理は、Javaでも実装可能と思います。

メール中のURLの有効期限

以下のように変更後の再利用は不可能です。
※ 画面自体は表示されるが変更エラーになります。

確認メールの有効期限

app.configの

EmailConfirmationTokenLifespanFromHours?

が有効期限として効いているものと思われます。

この値は、

ApplicationUserManager?

で設定されています。

参考

マイクロソフト系技術情報 Wiki


添付ファイル: fileUrlInEmail.png 15件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-06-04 (月) 10:00:25 (77d)