2

我正在使用 JMS (ActiveMQ) 作为登录服务来实现请求-回复模式。这一切都很好。我在消息中发送用户名和密码,然后使用数据库中的加密检查密码的加密版本。我在这部分使用JASPYT

我担心的是通过 JMS 发送未加密的密码。我会因为这种做法而面临任何安全妥协吗?不幸的是,JASPYT库不允许我将摘要与另一个摘要进行比较,只能将原始密码与保存的摘要进行比较;这就是我通过网络发送密码的原因。

是否有可能截获消息并泄露用户名/密码?假设 JMS 是我的实现或 RR,是否有更安全的方法来执行此操作?

谢谢你的帮助。

4

2 回答 2

1

As when sending passwords over http, you should use SSL to secure the transport channel.

ActiveMQ and SSL

于 2013-05-23T06:29:12.687 回答
1

如果您担心通过网络发送未加密的密码,您可能应该考虑使用某种加盐方案。

正如 Petter 所建议的,SLL 是确保密码不会通过网络被嗅探的方法。这需要在客户端(生产者)和服务(消费者)上实现。

ActiveMQ 确实有某些设施(虚拟/复合目标镜像队列)可能允许在代理级别窃听消息,但这些需要更改代理配置。只要您的配置被锁定,您就不应该有任何问题。

于 2013-05-24T07:59:55.933 回答