如何减少Asp中的密码重置令牌长度.网络标识

string Token = userManager.GeneratePasswordResetToken(userId);

您可以使用TotpSecurityStampBasedTokenProvider生成6位数：

public class ResetPasswordTokenProvider : TotpSecurityStampBasedTokenProvider<OriIdentityUser>
{
    public const string ProviderKey = "ResetPassword";
    public override Task<bool> CanGenerateTwoFactorTokenAsync(UserManager<OriIdentityUser> manager, OriIdentityUser user)
    {
        return Task.FromResult(false);
    }
}

在启动类中添加：

services.AddIdentity<IdentityUser, IdentityRole>(options =>
    {
        options.Tokens.PasswordResetTokenProvider = ResetPasswordTokenProvider.ProviderKey;
    })
    .AddDefaultTokenProviders()
    .AddTokenProvider<ResetPasswordTokenProvider>(ResetPasswordTokenProvider.ProviderKey);

您的密码重置令牌需要是加密随机的，这意味着给定一组使用过的令牌，下一个令牌应该是不可能猜测的。它还需要涵盖足够大的一组可能的值，以至于暴力尝试所有这些值的速度都慢得不切实际。

您可以进行更改，使后者使用较小的可能值集——例如，在检查令牌之前，您可以在密码重置页面/操作中添加1秒的延迟。您的用户几乎不会注意到很少使用的页面上的延迟，但攻击者将无法快速尝试大量代币。

所以，首先你需要得到一个加密随机数：

var random = new byte[8];
using (var rng = System.Security.Cryptography.RandomNumberGenerator.Create())
    rng.GetBytes(random);

我在这里放了8字节，但你可以把它做成你想要的任何长度。

接下来，你需要把它做成一个漂亮的可粘贴字符串。你可以通过unicode转换来做到这一点，但我发现base64更可靠：

Convert.ToBase64String(random).TrimEnd('=');

将其与8字节一起使用将为您提供64位可能的值和一个10个字符的字符串。使用4将为您提供32位（在低安全性站点上进行缓慢的令牌检查时可能就足够了）和一个5个字符的字符串。

我有一个理想的解决方案，它建立在这里找到的正确答案的基础上。首先，您必须在有问题的类中注入IMemoryCache。

public class ResetController : ControllerBase
{
    private readonly IMemoryCache _memoryCache;
    public ResetController(IMemoryCache memoryCache)
    {
        _memoryCache = memoryCache;
    }
}

其次，内存缓存允许您创建一个存储在缓存中的键值对关系，以便以后可以使用键检索值。在这种情况下，值是实际生成的令牌，密钥是变量truncatedtoken。

var token = await _userManager.GeneratePasswordResetTokenAsync(user);
string tokentruncated;
using (RandomNumberGenerator rng = new RNGCryptoServiceProvider())
{
    byte[] tokenData = new byte[32];
    rng.GetBytes(tokenData);
    tokentruncated = Convert.ToBase64String(tokenData);
}
var cacheEntryOptions = new MemoryCacheEntryOptions()
                    .SetSlidingExpiration(TimeSpan.FromDays(1));
_memoryCache.Set(tokentrunc, token, cacheEntryOptions);

一旦发送了确认令牌（truncatedtoken）并且用户准备好重置密码。truncatedtoken密钥用于检索实际的令牌。

string token;
_memoryCache.TryGetValue(truncatedtoken, out token);
 var result = await _userManager.ResetPasswordAsync(user, token, "New password");

不使用TryGetValue，您还可以使用检索令牌；

string token = _memoryCache.Get<string>(truncatedtoken);

用较短的代码替换长代码并存储在应用内缓存中。

生成时：

var token = UserManager.GeneratePasswordResetToken(user.Id);
var guidCode = GenerateCustomToken(); //use this https://stackoverflow.com/a/1668371/631527
CacheHelper.AddToCache(guid, token); //add it to MemoryCache.Default
var resetUrl = $"https://.....com/password-reset/{guidCode}/{userName}";

检查时：

//get guidCode from the request in your GET or POST controller
var token = CacheHelper.GetValue(guidCode); //retrieve it from cache
var result = UserManager.ResetPassword(user.Id, token, model.Password);

一件事是生成自己的8位GUID并将其发送给用户，然后拥有自己的查找表来获得真正的令牌。