刚才我发现,当我的Flex应用程序执行ChannelSet.login时,它实际上是以未加密的形式通过线路将用户名和密码发送到BlazeDS服务器。虽然我通过AMFChannel使用二进制AMF协议,但对于有人嗅探这些密码却无需任何帮助。如何在Flex ChannelSet.login期间保护凭据?
我的大多数客户不想在https(SSL)受保护的站点上运行其应用程序。那么做到这一点的最好方法是什么?我在后端使用Spring安全性来执行身份验证。
在调用登录名之前,我应该自己加密凭据吗?我想我会需要知道服务器端加密algorthym。
想法?
看起来像共享加密是一条路。可以使用用户名作为盐。我知道没有办法阻止一个坚定的黑客,但任何事情总比没有好。 – HDave 2010-09-18 19:59:59