我有一个关于发送和接收 STOMP 消息的简单问题。
我有一个 python 脚本,它将数据作为 STOMP 消息发送到消息代理,另一个脚本监听该消息主题并获取它。到目前为止,一切都按预期进行,但我对系统的安全性感到好奇。网络上的某人是否能够使用数据包嗅探器或类似工具来读取代理发送/接收的消息?或者他们在没有经纪商登录的情况下无法查看数据?我的直觉告诉我是后者,但我想确认一下。
对于上下文,我的发送者使用
stomp.pyconn = stomp.Connection(host_and_ports=[(ip, port)])
conn.connect(wait=True)
conn.send(body=clean_msg, destination=f"/topic/{topic}")
这
conn.sendSTOMP 是一种“面向文本”的协议,因此除非您使用 SSL/TLS,否则任何有权访问网络的人都可以查看数据包并相当轻松地读取从生产者发送的消息数据到经纪人以及从经纪人到消费者。 据我所知,您的 Python STOMP 客户端没有使用 SSL/TLS,因此您的传输不会受到保护。
此外,一旦数据存储在代理上,任何具有文件系统访问权限的人都可以读取数据,因为数据在存储中未加密。当然,您可以通过强制执行标准用户访问来降低这种风险。