我正在使用JMS (ActiveMQ)作为登录服务实现请求-应答模式。这一切都很好。我在消息中发送用户名和密码,然后用数据库中的加密检查密码的加密版本。这部分我使用JASPYT。
我担心通过JMS发送未加密的密码。这种做法会对我的安全造成危害吗?不幸的是,JASPYT库不允许我比较一个摘要与另一个摘要,只能将原始密码与保存的摘要进行比较;这就是为什么我要通过网络发送密码。
消息是否可能被截获,用户名/密码是否可能被泄露?假设JMS是我的实现还是R-R,是否有更安全的方法来做到这一点?
谢谢你的帮助。
当通过http发送密码时,您应该使用SSL来保护传输通道。
ActiveMQ和SSL
如果您担心通过网络发送未加密的密码,您可能应该考虑使用某种盐化方案。
正如Petter所建议的,SLL是确保密码不会在网络上被嗅探的一种方法;这需要在客户端(生产者)和服务(消费者)上同时实现。
ActiveMQ确实具有某些功能(虚拟/复合目的地、镜像队列),这些功能可能允许在代理级别窃听消息,但这些功能需要更改代理配置。只要你的配置是锁定的,你应该没有任何问题。