Симуляция проверки пароля в случае если пользователь не найден

Темы, не касающиеся фреймворка, но относящиеся к программированию в целом.
Ответить
azz
Сообщения: 165
Зарегистрирован: 2016.07.06, 17:20

Симуляция проверки пароля в случае если пользователь не найден

Сообщение azz » 2019.11.08, 16:53

Приветствую. В процессе разработки проекта возник этот вопрос.

Дано.
Пароль пользователей генерируется через password_hash(), проверяется password_verify(). Для разных пользователей может быть разный cost, от дефолтного 10, до 14. Вроде бы всё хорошо. Но если пользователь не найден, password_verify() не вызывается, а сразу выдаётся ошибка. По времени ответа даже в браузере видно, когда пользователя нет совсем, и когда он есть, но пароль неверный.

Вставил задержку через usleep(random_int(800000, 1500000)), но может есть решения поэлегантнее?

uEhlO4a
Сообщения: 67
Зарегистрирован: 2017.08.12, 19:19

Re: Симуляция проверки пароля в случае если пользователь не найден

Сообщение uEhlO4a » 2019.11.08, 17:00

что мешает сделать password_verify(блаблабла, хеш10-14) чтобы было false если пользователя нет?

azz
Сообщения: 165
Зарегистрирован: 2016.07.06, 17:20

Re: Симуляция проверки пароля в случае если пользователь не найден

Сообщение azz » 2019.11.08, 17:15

uEhlO4a писал(а):
2019.11.08, 17:00
что мешает сделать password_verify(блаблабла, хеш10-14) чтобы было false если пользователя нет?
Ничего не мешает. Мне интересно как в крупных проектах это реализуется

Ответить