使用 Flex 处理 cookie 以进行身份​​验证

Question

我将 Flex 4(beta2) 与 Ruby on Rails 2.3.5 结合使用，并使用 RubyAMF 在 Flex 和服务器之间来回传输数据。

我在 Rails 端设置了 Authlogic 进行身份验证。

我不确定处理用户会话的最佳方法是什么。我知道这是通过 Rails 自动完成的，方法是发送带有 cookie 的会话 ID，Rails 使用 cookie 来验证用户身份。

您建议使用 Flex 实现此目的的最佳方法是什么？

我想到了几个选择：
1. 手动从浏览器获取 cookie，然后找到一种方法，通过我发送的每个请求将其发送到服务器。
2。通过手动使会话过期来处理 Flex 端的会话过期和流量

您还有其他建议或建议吗？

谢谢，

谭

Answer 1

Flash 中的网络请求使用浏览器网络堆栈，因此 Flex 中的 cookie 的工作方式就像任何其他浏览器应用程序一样。通常，Flex 中的身份验证与标准 Web 应用程序中的身份验证没有什么不同。将凭据发送到与会话 ID 关联的服务器。每个后续请求（RemoteObject、HTTPService 等）也会发送该会话 ID。

Answer 2

我们已经看到，当我们进行 blazeDS (http) 远程调用时，flash 插件会传播会话 cookie

Answer 3

过去我们使用过 BlaseDS 和 HTTPServices。在这两种情况下，请求都通过 HTTP 发送到服务器。我们的服务器堆栈为 Java（具体来说是 JBoss）。

我们注意到 Flex 客户端用于将会话信息与请求一起发送到服务器。我们使用相同的信息在服务器上存储和获取主体。

在一种情况下，我们将令牌传播给客户端。这是为了避免对同一请求进行多次提交 - 因此我们使用了令牌生成的常见 HTML 提交方法，其中每个响应本身都带有一个新令牌，并且客户端必须将其发送回服务器以执行下一个请求。

对于会话过期，很有可能用户正在客户端上工作以满足任何本地需求，而不是与服务器一起工作，这可能会导致服务器上的过期而不影响服务器。在这种情况下，我们在服务器上禁用了会话过期，并编写了自定义代码来处理事件 - Flex 客户端上的键盘和鼠标。如果应用程序在指定时间内未使用，Flex 客户端将使本地会话和服务器会话过期

Answer 4

您建议使用 Flex 执行此操作的最佳方法是什么？

$loggedIn=Authenticate::isAuthenticated();
if(!$loggedIn)return false;
$user=Authenticate::getAuthUser();

首先对用户进行身份验证，如果他已登录，则创建会话。将其包含在您的每个 PHP 或 Ruby 文件中，并进行检查。将会话 ID 发送到 Flex 以维持状态，并设置会话过期时间。

上面的代码确实检查用户是否经过身份验证才能访问 PHP 或 ruby​​ 类文件。