Симуляция проверки пароля в случае если пользователь не найден

Темы, не касающиеся фреймворка, но относящиеся к программированию в целом.
Ответить
azz
Сообщения: 197
Зарегистрирован: 2016.07.06, 17:20

Симуляция проверки пароля в случае если пользователь не найден

Сообщение azz »

Приветствую. В процессе разработки проекта возник этот вопрос.

Дано.
Пароль пользователей генерируется через password_hash(), проверяется password_verify(). Для разных пользователей может быть разный cost, от дефолтного 10, до 14. Вроде бы всё хорошо. Но если пользователь не найден, password_verify() не вызывается, а сразу выдаётся ошибка. По времени ответа даже в браузере видно, когда пользователя нет совсем, и когда он есть, но пароль неверный.

Вставил задержку через usleep(random_int(800000, 1500000)), но может есть решения поэлегантнее?
uEhlO4a
Сообщения: 70
Зарегистрирован: 2017.08.12, 19:19

Re: Симуляция проверки пароля в случае если пользователь не найден

Сообщение uEhlO4a »

что мешает сделать password_verify(блаблабла, хеш10-14) чтобы было false если пользователя нет?
azz
Сообщения: 197
Зарегистрирован: 2016.07.06, 17:20

Re: Симуляция проверки пароля в случае если пользователь не найден

Сообщение azz »

uEhlO4a писал(а): 2019.11.08, 17:00 что мешает сделать password_verify(блаблабла, хеш10-14) чтобы было false если пользователя нет?
Ничего не мешает. Мне интересно как в крупных проектах это реализуется
Ответить