在实体框架中隐藏密码哈希字段

Question

我正在为一个项目使用实体框架，并希望它的行为方式与我的普通 ado.net 项目类似，我从不从数据库中获取密码哈希以避免秘密信息的安全泄漏。

我有几个想法

• 一个是隐藏部分的字段 上课，但我不知道那是不是 可能。
• 更改代码 带有丑陋 if 的生成模板 该特殊情况的子句

我猜这些解决方案都没有阻止数据离开数据库，只是隐藏了返回 String.Empty 等的字段。 有没有办法完全不启用该字段，但仍有可能添加新用户或更改忘记密码功能中的哈希值。

Answer 1

你有几个选择：

1. 您可以从概念层删除密码属性，EF 不会从数据库中选择它。 （当您在设计器中选择了属性时，只需点击“删除”即可。）
2. 您可以在数据库中创建视图并仅发布密码的哈希值（即虚拟列）。 An earlier question of mine 可能会在这里为您提供帮助。
3. 您可以将生成的实体中的密码属性的可访问性设为非公开。 （再次，在设计器中选择属性并检查其属性。）当然请注意，密码确实使用此选项离开数据库。

对于前两种情况，您需要一个用于更新数据库中密码的辅助通道——可能是一个存储过程。第三个选项应该允许您更新密码，同时对日常用户隐藏它，当然它会在内存中，所以精明的用户可能仍然可以访问它。