如何做：将表单份验证用于 SQL Server 2000.docVIP

构建安全的 ASP.NET 应用程序身份验证、授权和安全通信 有关构建安全的 ASP.NET 应用程序 的起点和完整概述，请参见HYPERLINK link to landing page登陆页面。 总结 本“如何做”介绍如何在 SQL Server 凭据存储上实现表单身份验证。这里还介绍了如何在数据库中存储密码摘要。 如何做：将表单身份验证用于 SQL Server 2000 通常，使用表单身份验证的 Web 应用程序将用户凭据（用户名和密码）与关联的角色或组列表存储在 Microsoft? SQL Server? 2000 中。 本“如何做”介绍如何安全地查找用户名并针对 SQL Server 2000 验证密码。以下是两个有关安全地存储用户凭据的重要概念： ● 存储密码摘要。出于安全方面的原因，不应以明文的方式将密码存储在数据库中。本“如何做”介绍如何创建和存储用户密码的单向哈希值，而不是存储密码本身。为了避免出现与加密技术有关的密钥管理问题，应首选使用此方法，而不是存储加密的用户密码版本。 为了提高安全性并降低与字典攻击有关的威胁，本“如何做”中介绍的方法在创建密码哈希值之前将 salt（使用加密技术生成的随机数）与密码结合起来。 要点：不将密码存储在数据库中的一个缺点是，如果用户忘记了密码，则它不可以恢复。因此，应用程序应该使用密码提示，并将它们与密码摘要一起存储在