Flex / Air安全客户端 - 服务器通信

Question

我正在研究如何通过Flex / Air中的HTTPService请求实现安全的客户端 - 服务器通信。服务器端是用PHP实现的，而客户端可以在桌面（Air）或浏览器（flex）上运行。

我需要帮助确保的简单用例是 -

  

桌面客户端向服务器发送请求并获得响应

1. 如何在服务器端确保从有效客户端发送请求？根据我的研究，Flex不允许操纵请求标头，因此我无法操纵它们。使用任何网络监视器都可以看到所有请求查询，因此拥有一个独特的（但是静态的）参数并不会真正达到我想要实现的目标。
2. 另一方面，只需操作hosts文件即可模拟服务器。在客户端，我如何确保从实际服务器接收响应，而不是从添加到主机文件的别名接收响应

Answer 1

我的解决方案是加密和解密双方的数据。

你需要发送的Air数据应该用as3crypto加密并发送到PHP解密它的服务器，在上一篇文章中查看工作代码示例decrypt a as3crypto encrypted text in PHP，你也可以这样做服务器到客户端通信。

因此，您需要为服务器端和客户端保留相同的密钥和IV，为了更安全，您可以将它们作为二进制数据嵌入到项目http://www.ghostwire.com/blog/archives/as3-embedding-binary-xml/中，对于AS3反编译器来说，它是不容易查看的，但无论如何，请注意它可能被高级人员攻击。