【发布时间】:2009-10-15 22:41:13
【问题描述】:
保护需要登录的 flex 应用程序(桌面和浏览器)使用的 .net Web 服务的最佳方法是什么?
我曾考虑在 Web 服务的每个方法中请求用户和密码,并将它们作为变量存储在 flex 应用程序中,但我觉得这不是最优雅的方式。
建议?
谢谢
【问题讨论】:
标签: .net apache-flex flash web-services security
【发布时间】:2009-10-15 22:41:13
【问题描述】:
嗯,快速简便的方法会提供一些选择。
在每次调用时,通过标头传递用户名/密码,并使其成为重新验证的常用位置。
使用“会话”类型设置,让他们登录一次,给他们一个安全令牌,然后他们在其余时间通过。
这些至少是执行此操作的“最快”方式。您还有其他选择,但它们并不直接。在我所有的 WS 集成过程中,这是最常见的两个。
【讨论】:
-
是的,如果您愿意,可以在幕后使用 ASP.NET 成员身份流程进行授权。
虽然数据没有加密?
http://msdn.microsoft.com/en-us/library/ff648643.aspx
漏洞
可能导致参数操作的漏洞包括:
Messages that are not digitally signed to provide tamperproofing
Messages that are not encrypted to provide privacy and tamperproofing
对策
您可以使用以下对策来防止参数操纵:
Digitally sign the message. The digital signature is used at the recipient end to verify that the message has not been tampered with while it was in transit.
Encrypt the message payload to provide privacy.
【讨论】:
-
SSL 还不够吗?我知道网络上的一切都可以被操纵,但我假设 HTTPS 解决了这个问题。