MQTTソケットWebクライアント接続セキュリティの問題

Question

MQTT Webクライアントを使用して、msquitto mqtt brokerとwebsocketで接続しました。接続するmqttws31.jsクライアントjsを私に教えてください。接続は問題なくOKです。 は、私はこの問題は、このコードは私のjsファイルに挿入されていることであり、ユーザーは自分のブローカーへのパスワードアクセスを見ることができますfloowingコード

client = new Paho.MQTT.Client("iot.eclipse.org", Number(80), "/ws", "clientId"); 
 
client.connect({ 
 
    onSuccess: onConnect, 
 
    userName : “Username”, 
 
    password : “password” 
 
});

を使用しています。私はmd5でパスワードを暗号化する場合。ブローカーはそれを受け入れません。
古典的なajax呼び出しの場合、私はmd5のパスワードを比較することができますが、これを行う方法があるかどうかを知っていますか？

お手伝いいただきありがとうございます。

Answer 1

これは、達成したいことを背景にしないと答えるのが難しい質問です。アプリケーションとは何ですか？ MQTTサーバーのユーザー名とパスワードで何を保護しようとしていますか？

MD5を使用するとパスワードが暗号化されません。新しい文字列に変換するだけです。誰かがMD5を保持すると、MQTTサーバー上の自分のアカウントにログインすることができます。

私は、MQTTサーバーにログインするためにユーザー自身の資格情報を使用する必要があると答えています。または、ユーザー/セッション固有のトークン（OAuthトークンなど）を使用して、ユーザーであることを証明しますが、必要な場合は取り消しまたは更新できます。

Answer 2

実際にパスワードを1つだけ使用する必要がある場合は、AJAXリクエストのユーザー名とパスワードを入力して、ページに保存しないようにすることができます。これらの資格情報は、おそらく定期的に変更する必要があります。

誰もが同じAJAXリクエストで資格情報を取得することができるため、実際には保護されていませんが、srcですぐに利用できるわけではありません。

@njhは独自の資格情報