Discuz!NT3.1 用户登录Cookie中密码加密方式探索【原创】

         今天朋友找我，说有一个论坛和网站，一年多前网站的制作者未曾实现Dicuz!NT同步功能，问题遗留至今。两年前我曾利用

DiscuzTookit开发包，实现网站和论坛登录同步、注册同步、修改资料同步、修改密码同步、注销登录同步等。今天看了他们的论坛，发现之前 有过同步的痕迹，当时开发者，采用网站注册时，向论坛数据表插入记录的方式，目前，它只实现了注册同步。接下来，就简单些吧，也不想在现有的基础上大动干 戈，于是想了下，接着之前他们未完成的部分，Go On!

   首先，应该注意Cookie的跨域问题，这里就不做详细说明，我在其它博客里，发表过这样的问题，论坛跨域，我们需要在管理后台，设置下Cookie的 域，如：原来:bbs.xxx.com，修改为:  .xxx.com。这样在同一个主域名下，可以实现Cookie的跨域访问问题。我们在论坛后台    全局->常规选项->基本设置 中，做如下修改即可:

   我们在登录论坛后，用浏览器查看Cookie信息，其中有一项Cookie名为dnt的，我们来查看下信息：

 在这里，我们注意到，Cookie信息中，包括了用户id，用户加密过的密码和其它相关信息。这里我们主要探讨密码的加密方式。

Discuz!nt Cookie中密码的加密方式采用的是md5和des双重加密方式。对用户输入的密码进行md5加密不是什么难事，在这里我们需要注意的是，des的加密 方式。des是Discuz!nt项目中Discuz.Common库中 Discuz.Common.DES类中的加密方法。而 密码利用Discuz.Common.DES加密时，采用的密码加密key,需要和配置文件中的信息保持一致。关于密码加密的key,我们可以在论坛根目 录下config文件夹中general.config文件，其中有一个<Passwordkey>的配置节，我们就利用这个key,通过 DES类中Encode方法对密码进行加密。我们来看看具体的代码：

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Test case:         /// <summary>         /// 画面载入事件         /// </summary>         /// <param name="sender"></param>         /// <param name="e"></param>         protected void Page_Load(object sender, EventArgs e)         {             //密码加密Key位于/config目录的general.config文件。找到<Passwordkey>DFX00BDLBL</Passwordkey>             const string PASSWORD_KEY = "DFX00BDLBL";             //原始密码             string strPwd = "19900909asd";             //MD5加密后             string strMd5 = Discuz.Common.Utils.MD5(strPwd);             string strDES = Discuz.Common.DES.Encode(strMd5, PASSWORD_KEY).Replace("[", "+");             //Cookie userid=104659&password=Mk0SVJLRcwFo/z7KsQgB0hVRBCcJ9uOaPqX+cQEgm4sz/0UBgWxV5A==&tpp=0&ppp=0&pmsound=1&invisible=0&referer=index.aspx&sigstatus=1&expires=43200             string strCookie = "Mk0SVJLRcwFo/z7KsQgB0hVRBCcJ9uOaPqX+cQEgm4sz/0UBgWxV5A==";             if (strDES == strCookie)             {                 Response.Write("OK！");             }         }

  上面的代码引用了Discuz.Common类库中的方法。Discuz.Common.dll可以在bbs的bin目录中找到。 我们把刚才在Cookie中获取到的密码信息提取出来，与我们加密后的密码，进行比较。这样我们得出以下结论：

Discuz!nt中用户登录Cookie中密码的加密方式是先通过Md5加密后，再通过Discuz.Common.DES中的Encode方法结合

?

1	Passwordkey进行加密，从上面代码的运行结果我们可以看出，加密后的结果，和Cookie中的密码完全一致。