我目前正在构建一个使用PHP作为后端的Flex 4 Web应用程序。我正在使用AMF让后端和flex应用程序相互通信。
如何保护我的AMF端点?用户可以反编译我的flex应用程序,找到我的端点的URI并调用方法。我需要确保所有对端点的调用都是在我的应用程序中完成的。
我想阻止这样的事情发生:http://musicmachinery.com/2009/04/15/inside-the-precision-hack/
实现这一目标的最佳方法是什么?
谢谢:)
答案 0 :(得分:1)
网址并不重要。他们非常很容易从任何 Web应用程序中找到,但您仍需要它可以公开访问它们。有几件事要做,首先,如果您对数据安全本身感兴趣,您可能希望让服务器运行在https而不是http上。但是,如果数据安全性并不重要(而且通常不是这样),那么您只需要一个快速而肮脏的身份验证系统。
我相信你可以在网上找到很多文章,甚至可以在php上进行身份验证的框架。在过去,当我需要一个非常简单的身份验证时,我会让我的客户端通过用户名和SHA1密码发送到php上的开放身份验证功能,然后创建,存储和返回会话ID。那个会话ID将是所有其他php函数的第一个参数。这些函数将检查数据库以查看会话ID是否存在或是否仍然有效(从上次使用起15分钟时间戳),如果是,则继续执行该功能。
这只是一种非常简单的做事方式,对许多小型网站都有好处。如果您需要更高的安全性,请通过https发送所有这些内容,以防止嗅探器获取通过线路发送的会话ID。在那之后,你将进入企业安全阶段,这对你想要做的事情来说可能有点过头了,并且你会花费你的胳膊,腿和左睾丸:P