我们有一个标准的Symfony2应用程序。有供应商、密码编码器等等。密码使用非常大的哈希成本进行加密。
换句话说,当有人尝试登录(不一定要用正确的密码)时,如果存在真实用户,则检查哈希值是显而易见的;如果不存在,则会快得多 - 没有用户 - 就无需进行哈希等操作。
因此,很容易知道特定的电子邮件是否在我们的应用程序中注册。
Symfony中有任何内置机制可防止此类信息泄露吗?或者有没有已经建立的最佳实践方法?
更新以回应第一个答案: 如何总体处理这个问题已经比较清楚了,但问题是我们如何在Symfony的安全框架内轻松解决它。
换句话说,当有人尝试登录(不一定要用正确的密码)时,如果存在真实用户,则检查哈希值是显而易见的;如果不存在,则会快得多 - 没有用户 - 就无需进行哈希等操作。
因此,很容易知道特定的电子邮件是否在我们的应用程序中注册。
Symfony中有任何内置机制可防止此类信息泄露吗?或者有没有已经建立的最佳实践方法?
更新以回应第一个答案: 如何总体处理这个问题已经比较清楚了,但问题是我们如何在Symfony的安全框架内轻松解决它。