在我的身份验证服务中,我试图用一个简单的StringRedisTemplate对象从我的redis中获取密码。
然后,我使用BCryptPasswordEncoder进行密码匹配。
我发现用户名不匹配和密码不匹配之间存在时间差异。
我读过一些文章,说用户名不是一个秘密值,我不必担心-我知道这一点,但在我的情况下,我想没有时间差,两者之间的情况。
我该怎么做?

@PostMapping(value = "/auth", consumes = "application/json")
public ResponseEntity<?> isClientExists(@Valid @RequestBody User user) {
    //with redisTemplate.opsForValue().get(sha256Hex(userName)) :
    UserDetails user = redisClient.loadUserByUserName(user.getUserName());

    if (userNotFound(userFromDB)) {
        /* What should I add here to make it time-invariant query? */
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
    if (!authenticateUser(user.getPassword(), userFromDB.getPassword())) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }

    return ResponseEntity.status(HttpStatus.OK).build();
}

private boolean userNotFound(UserDetails userFromDB) {
    return (userFromDB == null);
}

private boolean authenticateUser(String userPassword, String userFromDBPassword) {
    //with BCryptPasswordEncoder :
    return passwordEncoder.matches(userPassword, userFromDBPassword);
}

最佳答案

两种方法:
1)找出authenticateuser调用平均需要多长时间,并在此时间内休眠(尽管将来CPU升级时时间可能会改变)。
2)使用随机数据再次调用authenticateuser,忽略结果。

10-07 16:13