我们正在寻找确保AMQP连接的最佳方式。我们的AMQP客户遍布全球,与AMQP服务器的连接需要安全。我们使用TLS作为运输级安全性,如oasis-open.org所推荐的那样。现在正在为AMQP客户寻找AUTH机制。
一种方法是使用相同的TLS证书来验证用户,第二种方法是使用新的着名JWT作为AMQP的auth机制。每当客户端发布或订阅AMQP队列时,服务器都应通过将JWT发送到服务器来获取身份验证。
答案 0 :(得分:1)
JWT是在客户通过安全TLS渠道提交凭证后发出的。这里的关键点是身份验证机制
用户/密码易于使用和维护,但与使用客户端证书相比安全性较低。用户可以设置弱密码,或丢失已注释的帖子。
客户端证书需要在客户端计算机上进行其他安装。窃取证书要困难得多,因为您可以使用系统密钥库,使用密码保护它甚至使用硬件。但证书分发是一个复杂的过程。您可以使用自己的CA,但需要考虑如何将证书提供给用户和安装过程。此外,双向TLS通道的配置在您的客户端中将很复杂。我认为使用外部CA不是一种选择,因为每个用户都需要从该CA获得证书,而这是一个您无法控制的过程。