이렇게 하면 사용자이름이 유효하든 아니든 엔드포인트가 응답하는 데 걸리는 시간이 대략 동일해져, 기존 사용자이름을 열거하는 데 악용될 수 있는 **타이밍 공격**을 방지합니다.

/// note | 참고

새로운 (가짜) 데이터베이스 `fake_users_db`를 확인하면, 이제 해시 처리된 패스워드가 어떻게 생겼는지 볼 수 있습니다: `"$argon2id$v=19$m=65536,t=3,p=4$wagCPXjifgvUFBzq4hqe3w$CYaIb8sB+wtD+Vu/P4uod1+Qof8h+1g7bbDlBID48Rc"`.

///

## JWT 토큰 처리 { #handle-jwt-tokens }

설치된 모듈을 임포트합니다.

JWT 토큰을 서명하는 데 사용할 임의의 비밀 키를 생성합니다.

        Smb2IoctlRequest request = new Smb2IoctlRequest();
        request.setCtlCode(FSCTL_QUERY_NETWORK_INTERFACE_INFO);
        request.setFileId(new byte[16]);  // Use session ID
        request.setMaxOutputResponse(65536);
        
        Smb2IoctlResponse response = (Smb2IoctlResponse) session.send(request);
        
        if (response.isSuccess()) {
            parseNetworkInterfaces(response.getOutputData());
        }

pkg syscall (freebsd-arm64), const IN_CLASSA_NSHIFT = 24
pkg syscall (freebsd-arm64), const IN_CLASSA_NSHIFT ideal-int
pkg syscall (freebsd-arm64), const IN_CLASSB_HOST = 65535
pkg syscall (freebsd-arm64), const IN_CLASSB_HOST ideal-int
pkg syscall (freebsd-arm64), const IN_CLASSB_MAX = 65536
pkg syscall (freebsd-arm64), const IN_CLASSB_MAX ideal-int
pkg syscall (freebsd-arm64), const IN_CLASSB_NET = 4294901760

          .isNull();
    }
    assertWithMessage("Hex string and dec parm").that(Longs.tryParse("FFFF", 10)).isNull();
    assertWithMessage("Mixed hex case").that(Longs.tryParse("ffFF", 16)).isEqualTo(65535);
  }

  /**
   * Encodes the long as a string with given radix, then uses {@link Longs#tryParse(String, int)} to
   * parse the result. Asserts the result is the same as what we started with.
   */

            assertEquals(8192, samr.ACB_TRUSTED_FOR_DELEGATION);
            assertEquals(16384, samr.ACB_NOT_DELEGATED);
            assertEquals(32768, samr.ACB_USE_DES_KEY_ONLY);
            assertEquals(65536, samr.ACB_DONT_REQUIRE_PREAUTH);
        }

        @Test
        @DisplayName("Should define correct SE_GROUP constants")
        void testSEGroupConstants() {
            // Verify all SE_GROUP constants

	{"18740(R5)", "18740(R5)"},
	{"$2", "$2"},
	{"$-24(R4)", "$-24(R4)"},
	{"-24(RSP)", "-24(RSP)"},
	{"$24(RSP)", "$24(RSP)"},
	{"-32(RSP)", "-32(RSP)"},
	{"$48", "$48"},
	{"$(-64*1024)(R7)", "$-65536(R7)"},
	{"$(8-1)", "$7"},
	{"a+0(FP)", "a(FP)"},
	{"a1+8(FP)", "a1+8(FP)"},
	{"·AddInt32(SB)", `pkg.AddInt32(SB)`},
	{"runtime·divWVW(SB)", "runtime.divWVW(SB)"},
	{"$argframe+0(FP)", "$argframe(FP)"},

	// relocation in play so the assembled offset should be 0
	JMP	foo(SB)			// 00000050

	JMP	(R4)			// 8000004c
	JMP	1(PC)			// 00040050
	MOVW	$65536, R4		// 04020014
	MOVW	$4096, R4		// 24000014
	MOVV	$65536, R4		// 04020014
	MOVB	R4, R5			// 855c0000
	MOVH	R4, R5			// 85580000
	MOVV	$4096, R4		// 24000014
	MOVW	R4, R5			// 85001700
	MOVWU	R4, R5			// 8500df00
	MOVV	R4, R5			// 85001500

          .isNull();
    }
    assertWithMessage("Hex string and dec parm").that(Ints.tryParse("FFFF", 10)).isNull();
    assertWithMessage("Mixed hex case").that(Ints.tryParse("ffFF", 16)).isEqualTo(65535);
  }

  /**
   * Encodes an integer as a string with given radix, then uses {@link Ints#tryParse(String, int)}
   * to parse the result. Asserts the result is the same as what we started with.
   */

	// The count of files inside a zip is truncated to fit in a uint16.
	// Gloss over this by reading headers until we encounter
	// a bad one, and then only report an ErrFormat or UnexpectedEOF if
	// the file count modulo 65536 is incorrect.
	for {
		f := &File{zip: r, zipr: rdr}
		err = readDirectoryHeader(f, buf)
		if err == ErrFormat || err == io.ErrUnexpectedEOF {
			break
		}
		if err != nil {
			return err
		}

これにより、ユーザー名が有効かどうかに関わらずエンドポイントの応答時間がおおよそ同じになり、既存のユーザー名を列挙するために悪用されうる「タイミング攻撃」を防止できます。

/// note | 備考

新しい（偽の）データベース`fake_users_db`を確認すると、ハッシュ化されたパスワードが次のようになっていることがわかります：`"$argon2id$v=19$m=65536,t=3,p=4$wagCPXjifgvUFBzq4hqe3w$CYaIb8sB+wtD+Vu/P4uod1+Qof8h+1g7bbDlBID48Rc"`。

///

## JWTトークンの取り扱い { #handle-jwt-tokens }

インストールした複数のモジュールをインポートします。

JWTトークンの署名に使用されるランダムな秘密鍵を生成します。