我有一个 Adobe AIR/FLEX 应用程序打包为在桌面上运行的 native 安装程序应用程序。从那里,我需要执行以下操作: a) 留在“app:”应用程序沙箱中,以便我可以将“file://”JPG 加载到我的 mx:HTML 控件中 b) 通过我的服务器 (CAKPHP) 进行身份验证以获得有效的 CAKEPHP session Cookie,以及 c) 从 javascript 安全地获取/发布 XHR 请求。
我可以使用 OAUTH 或 Facebook Connect 之类的东西进行身份验证而不丢失应用程序沙箱吗?似乎如果我从我的 mx:HTML 重定向,我将失去我的本地权限。
我能否使用不同的沙箱(远程?)向我的服务器进行身份验证并将 session Cookie 安全地传递到我的应用程序沙箱?
这些方法中的任何一种都可以安全地抵御脚本攻击吗?
最佳答案
Can I authenticate using something like OAUTH or Facebook Connect without losing the application sandbox? It seems if I redirect from my mx:HTML, I lose my local privileges.
Can I authenticate with my server using a different sandbox (remote?) and safely pass the Session Cookie to my application sandbox?
我不知道 Air/FLEX,但您当然可以毫无问题地将 OpenID/OAUTH/Facebook Connect 集成到您的蛋糕应用程序的注册/登录屏幕中,然后使用它来验证您的用户。
我不会重定向,而是使用 post/get 方法将登录数据发送到蛋糕应用程序 (users/login),确保没有为 login() 呈现的 View /布局并返回用户 session 数据 (json_encode the $this->Auth->user).
Are either of these methods safe against scripting attacks?
如果您确保 login() 函数只能由应用程序访问,它们可能是发送唯一标识符、加密数据(通过 SSL 或只是序列化)。还对 XSS 进行标准检查,延迟暴力破解的方法和蛋糕实际上有一些很好的处理注入(inject)的 sanitizer 方法(通常默认启用)。
关于apache-flex - 如何使用远程服务器 (CAKPHP) 验证桌面 FLEX/AIR 应用程序?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5742043/