我目前正在使用PHP作为我的后端构建一个Flex 4 Web应用程序。我正在使用AMF让后端和flex应用程序相互交谈。保护flash和php(AMF)通信
如何保护我的AMF端点?用户只需反编译我的Flex应用程序,找到我的端点的URI并调用方法。我需要确保所有对端点的调用都是在我的应用程序中完成的。
我想阻止somethig这样的情况发生:http://musicmachinery.com/2009/04/15/inside-the-precision-hack/
什么来实现这一目标的最佳途径?
谢谢:)
网址并不重要。他们很很容易找到从任何网络应用程序,但你仍然需要它有公共访问他们。有几件事情要做,首先,如果你对数据安全本身感兴趣,你可能希望让你的服务器通过https而不是http运行。但是,如果数据安全并不重要(而且通常不是),那么您只需要有一个快速而肮脏的认证系统。
我敢肯定,你可以在网上找到很多文章,甚至是为php认证而设计的框架。在过去,当我需要一个非常简单的身份验证时,我希望我的客户端将用户名和SHA1密码发送给php上的开放身份验证功能,然后创建,存储并返回会话ID。该会话ID将成为所有其他php函数的参数的第一个。这些函数将检查数据库以查看会话标识是否存在或仍然有效(使用上次使用时的15分钟时间标记),如果是,则继续使用该函数。
这只是一种非常简单的做事方式,对于很多小型网站都会有好处。如果您需要更高的安全性,请通过https发送所有这些信息,以防止嗅探器获取通过电话发送的会话ID。之后,你将进入企业安全,这可能是你想要做的矫枉过正,并会花费你的手臂,腿和左侧睾丸:P
我会补充说,如果你要存储密码,请散列和盐。不要忘记盐。 – 2011-06-10 14:17:26
Jonathan,good point,[salting](http://en.wikipedia.org/wiki/Salt_(cryptography))是一种提高密码安全性的简单方法。 – 2011-06-10 15:54:59