远程氯氟烃我有很多的麻烦找有关ColdFusion的氯氟烃保护远程功能AJAX调用的信息。假设您在用户通过AJAX调用登录到网站后为用户检索敏感信息。你叫这样的事情:确保ColdFusion的
https://www.mySite.com/pathToCFC/MyCFC.cfc?method=getBankInfo&userID=2343
所以这显然是超级不安全的,任何可以从浏览器中调用这个和更改用户ID来获得不同用户的银行信息。
我读过有关使用角色上的远程功能属性和使用cflogin对用户进行验证,但即使这样的地方,你会不会有通过像上述呼叫用户ID?经过身份验证的用户是否仍然能够切换用户ID以发现新用户的银行信息?
我想你需要澄清。如果他们是两个应用程序交谈,那么通常他们最终将拥有一个共享的公钥系统,并且您握手。例如,如果您正在讨论公开Web服务以供公众使用,那么他们通常只会发送一个与Web服务数据库中的帐户关联的128位唯一标识(UUID)。 – 2010-10-18 17:54:08