【发布时间】:2010-12-24 09:50:19
【问题描述】:
我使用 flex 作为我的前端,并且希望只有那个应用程序能够与我的站点/服务进行通信。建议一种方法来实现这一点。如您所见,我主要关心的是安全性。
我的后端是 php (cakephp/yii/normal php)。我也有移动应用程序,主要是 iPhone 和 Android,它们也需要通过我的 php 进行验证。
【问题讨论】:
标签: php iphone android apache-flex
【发布时间】:2010-12-24 09:50:19
【问题描述】:
您最好的选择是识别用户,而不是应用程序。如果您可以通过常规登录、cookie、会话等方式确定注册应用程序的用户,则大多数情况下您无需担心客户端。
如果这对您不起作用,那么通过隐蔽来确保安全是最好的解决方案。典型的解决方案是在应用程序中包含某种密钥,该密钥被发送到服务器,可用于为每个请求创建哈希签名(例如 HMAC-SHA1)。这样做的缺点是密钥一旦被破解就很容易分发。
一个更难破解的策略是做一些晦涩的事情,如果模式不匹配,则在不通知的情况下拒绝访问。例如。总是在发送请求 A 后 n 秒发送模糊请求 B,其中 n 是客户端的次要版本。发挥你的想象力。
【讨论】: