我是个铁轨菜鸟。我在概念化资产如何在经过身份验证的系统中工作时遇到问题。
到目前为止,我看到的所有教程都谈到将您的 swfs 放入公共文件夹并将它们嵌入到您的视图中。但是,我使用的 swf 是一个 flex gui,只能由通过 restful-authentication 登录的用户使用。我想将 gui 放入公用文件夹将违背拥有身份验证系统的全部目的。
那么每个人都在做什么来限制对这种静态内容的访问呢?
问问题
251 次
1 回答
4
你要在这里小心一点。如果您的系统得到了适当的保护,拥有 Flex GUI 的未经身份验证的用户将无法使用它,对吗?他还必须登录。那么,有什么理由不让任何用户下载 SWF 文件?
如果仅拥有 SWF 文件就足以“验证”以使用该站点,那么您就有了安全漏洞。考虑
a) 用户可以将下载的 SWF 文件的副本提供给其他人,然后其他人可以使用它,即使他无法从您的站点下载它。
b) Flex GUI 使用 HTTP 与您的站点通信、检索数据和发送命令。任何人都可以编写程序或使用其他方式发送相同的 HTTP 请求,而无需使用 Flex GUI。
于 2009-05-21T03:10:45.847 回答