【发布时间】:2011-04-29 06:11:30
【问题描述】:
多年来,在 Flash 游戏开发方面,我已经成为一个超级书呆子。现在我正在考虑利用我的技能帮助其他游戏开发者。
我想在 AS3 中开发一个 API,它允许开发人员(作为开始)执行以下操作:
- 显示一个对话框,让用户登录他们的“帐户”(托管在我的网站上)。
- 向网站发送分数/值并将其归因于登录用户。
- 解锁成就(成就将由开发者在 Web 界面中设置 - 在那里他们还将获得某种类型的密钥以用于其 API。
- 显示高分、游戏中的其他玩家资料等(基本上显示游戏中的所有统计数据)。
一切都很容易,可以直接开发。然而;令人沮丧的是安全性。我并不期待一个我完全意识到不可能的坚不可摧的解决方案,但是解决这个问题的最防御性方法是什么?
以下是我当场能想到的问题:
- 最大的问题 - 人们通过中间人攻击窃取 API 密钥。
- 高分注入,虚假成就解锁。
- 反编译 SWF 并窃取 API 密钥。
- 使用 API 密钥创建虚拟闪存应用程序并发送高分等随机数据。
- 更改 API 本身,以便您无需登录等。
我的一个想法是将我的 API 转换为组件,因此无法访问代码(除非您反编译)。这里的问题是它对开发人员不友好,尽管它可以让我为 UI 创建自己的图形(而不是编写很多很多精灵)。
除非有很好的反编译保护,否则私钥/公钥将不起作用。
我开始怀疑这个想法是不是死路一条。
任何关于保护这个(或部分)的建议都会很棒。
【问题讨论】:
标签: actionscript-3 api flash security