自定义身份验证-用户帐户模拟最佳实践
本文关键字:模拟 最佳 身份验证 用户 自定义 | 更新日期: 2023-09-27 18:02:17
我在一个。net应用程序中有一个自定义身份验证机制,它存储用户密码的哈希值,然后根据该哈希值测试输入的密码以授予身份验证票。
由于密码被散列,显然我不知道我的用户密码。
为了调试等,我需要能够冒充用户并登录到他们的帐户,但需要一些系统来绕过我没有密码的事实。
我考虑的一个选项是对主密码进行身份验证失败的二次测试,尽管我认为这有点弱,因为如果主密码被泄露,那么如果电子邮件地址已知,所有帐户都可以访问。
对于这个问题,有人有好的解决办法吗?
无可否认,这是一种间接的响应,但是构建实际使应用程序能够绕过身份验证过程的功能是一种有风险的方法。我会看看你试图调试的实际过程是什么,关于特定账户的什么可以帮助你测试这个然后专注于解决这个问题。也许您将通过更健壮的单元测试来解决这个问题,也许您甚至需要相同角色的测试帐户来复制行为。无论哪种方式,我都会避免故意破坏您自己的身份验证方案!
顺便说一句,希望当你说"存储用户密码的哈希值"时,这里也有一个加密随机盐。