我正在使用JMS(ActiveMQ)作为登录服务实现请求 - 回复模式。这一切都运作良好。我在邮件中发送用户名和密码,然后使用数据库中的加密检查密码的加密版本。我在这部分使用了JASPYT。
我担心的是通过JMS发送未加密的密码。这种做法我会面临任何安全妥协吗?不幸的是,JASPYT库不允许我将摘要与另一个摘要进行比较,只允许将原始密码与已保存的摘要进行比较;这就是我通过网络发送密码的原因。
是否有可能拦截邮件并损坏用户名/密码?假设JMS是我的实现或R-R,那么有更安全的方法吗?
感谢您的帮助。
答案 0 :(得分:1)
与通过http发送密码一样,您应该使用SSL来保护传输通道。
答案 1 :(得分:1)
如果您担心通过网络发送未加密的密码,您应该考虑使用某种salting scheme。
正如Petter建议的那样,SLL是确保密码不会被窃听的方式;需要在客户端(生产者)和服务(消费者)上实现。
ActiveMQ确实具有某些功能(virtual/composite destinations,mirrored queues),可能允许在代理级别窃听消息,但这些需要更改代理配置。只要您的配置被锁定,就不应该有任何问题。