使用JMS请求-回复的密码安全性
我正在使用JMS(ActiveMQ)作为登录服务实现一个请求-回复模式。一切都很好。我在消息中发送用户名和密码,然后用数据库中的加密检查密码的加密版本。这部分我使用JASPYT。
我担心的是通过JMS发送未加密的密码。这样的做法会给我带来安全隐患吗?不幸的是,JASPYT库不允许我将摘要与另一个摘要进行比较,只允许将原始密码与保存的摘要进行比较;这就是为什么我要通过网络发送密码。
消息是否可能被拦截并泄露用户名/密码?假设JMS是我的实现或R-R,是否有更安全的方法来做到这一点?
谢谢你的帮助。
共有2个答案
如果您担心通过网络发送未加密的密码,您可能应该考虑使用某种加密方案。
正如佩特所建议的那样,SLL是一种确保密码不会被窃听的方法;这需要在客户端(生产者)和服务(消费者)上实现。
ActiveMQ确实具有某些功能(虚拟/复合目标、镜像队列),允许在代理级别对消息进行窃听,但这些功能需要更改代理配置。只要你的配置被锁定,你就不会有任何问题。
与通过http发送密码一样,您应该使用SSL来保护传输通道。
ActiveMQ和SSL
-
问题内容: 只是知道,是否可以通过Ajax请求安全地发送密码? 我有一个登录框,它调用ajax请求来尝试登录/传递并检索带有错误(如果有)的JSON对象。 我应该改用表单重定向吗? [编辑] 将加密的密码存储在数据库中不是解决方案,因为ajax发送的登录名和密码是访问数据库本身(内部应用程序)的登录名/密码。 问题答案: 发送第三方无法拦截的内容的唯一方法是使用HTTPS而不是常规HTTP。这样,
-
我对骆驼很陌生,如果这很明显,请原谅。 我们正在尝试设置一条骆驼路线(在 talend esb 中),它执行以下操作: < li >通过JMS接收消息 < li >数据库更新 < li >通过JMS使用请求/回复将消息发送到另一个系统 < li >使用回复中的信息进行另一次数据库更新 这一切都在一条路线上。我发现该路由不再接受 1 中的任何消息。当它正在等待 3 中的回复时。 我曾尝试在JMS组件
-
我正在测试将JMS请求/应答与Camel和ActiveMQ结合使用的示例。当camel为您创建监听器时,我可以让这个示例起作用。即 我现在遇到的问题是,我无法让JMS请求/回复与存在于Camel jvm之外的MessageListener一起工作。等待回复的连接超时。我确保MessageListener正在将回复发送到回复队列,我也在设置相关ID。我在这里做错了什么?我已经谷歌了几天,试图解决这个
-
我对源代码中的密码有一个问题。例如,如果你想连接到FTP服务器,你必须在源代码中以纯文本形式写入密码。这安全吗?或者可以反编译JAR文件或Android APK文件,以获取纯文本格式的数据吗?有没有安全的方法来存储数据?
-
在mod security中,请使用:https://github.com/spiderlabs/modsecurity/wiki/reference-manual#request_body,但在尝试解析XML body中Soap操作的缓冲区时,不能处理它。 保存原始请求正文。只有在使用了URLENCODED请求主体处理器的情况下,或者在强制使用URLENCODED请求主体解析器的情况下,该变量才
-
我在工作场所使用Git,公司政策不允许我以不安全的方式存储密码。有没有比使用