.net 没有SSL的RabbitMQ身份验证安全吗？

我们正在使用RabbitMQ，我们将通过internet公开服务器。我们将有来自多台计算机的多个客户端访问服务器。我们的第一反应是启用SSL，但这似乎是文档中的一大难题，特别是在Windows和.NET中

我们可以手动加密我们的消息，并确保重要信息不能被嗅探，但我们更关心的是身份验证和授权

RabbitMQ的默认登录体系结构是安全的，还是我们真的需要启用SSL以实现100%安全的登录和授权？当客户端远程登录到RabbitMQ时，是否有人可以嗅探vhost/username/password

---

谢谢，

根据，SASL用于身份验证，因此，这可能是安全的，但RabbitMQ发行版提供的三种机制似乎都不安全（没有TLS）。您可以编写自己的安全SASL插件，或者按照您的说明使用TLS/SSL加密传输层。

原始问题的简短答案是否，如果不配置TLS，RabbitMQ将不安全（这不像OP认为的那么痛苦）

SASL将为您提供一个安全的（取决于机制）登录，但您登录是为了做一些事情（而不是为了好玩的登录：）-如果没有像TLS这样的机制，某些事情将不安全

---

正如各国所说，SASL是一种协议，它可以通过其机制安装安全层，从而成功地验证。不幸的是，大多数定义的SASL机制都没有提供安全层。因此，正如上面桥本san所建议的，强烈建议使用TLS作为RabbitMQ的安全层。

我们有一个为服务器生成证书的中间CA，另一个为用户和客户端提供证书的中间CA。我们发现该设置足够简单、可靠，并且非常易于管理。几乎没有疼痛。