我目前正在使用PHP作爲我的後端構建一個Flex 4 Web應用程序。我正在使用AMF讓後端和flex應用程序相互交談。保護flash和php(AMF)通信
如何保護我的AMF端點?用戶只需反編譯我的Flex應用程序,找到我的端點的URI並調用方法。我需要確保所有對端點的調用都是在我的應用程序中完成的。
我想阻止somethig這樣的情況發生:http://musicmachinery.com/2009/04/15/inside-the-precision-hack/
什麼來實現這一目標的最佳途徑?
謝謝:)
網址並不重要。他們很很容易找到從任何網絡應用程序,但你仍然需要它有公共訪問他們。有幾件事情要做,首先,如果你對數據安全本身感興趣,你可能希望讓你的服務器通過https而不是http運行。但是,如果數據安全並不重要(而且通常不是),那麼您只需要有一個快速而骯髒的認證系統。
我敢肯定,你可以在網上找到很多文章,甚至是爲php認證而設計的框架。在過去,當我需要一個非常簡單的身份驗證時,我希望我的客戶端將用戶名和SHA1密碼發送給php上的開放身份驗證功能,然後創建,存儲並返回會話ID。該會話ID將成爲所有其他php函數的參數的第一個。這些函數將檢查數據庫以查看會話標識是否存在或仍然有效(使用上次使用時的15分鐘時間標記),如果是,則繼續使用該函數。
這只是一種非常簡單的做事方式,對於很多小型網站都會有好處。如果您需要更高的安全性,請通過https發送所有這些信息,以防止嗅探器獲取通過電話發送的會話ID。之後,你將進入企業安全,這可能是你想要做的矯枉過正,並會花費你的手臂,腿和左側睾丸:P
我會補充說,如果你要存儲密碼,請散列和鹽。不要忘記鹽。 – 2011-06-10 14:17:26
Jonathan,good point,[salting](http://en.wikipedia.org/wiki/Salt_(cryptography))是一種提高密碼安全性的簡單方法。 – 2011-06-10 15:54:59