如何使用远程服务器 (CAKEPHP) 验证桌面 FLEX/AIR 应用程序？

Question

我有一个 Adob​​e AIR/FLEX 应用程序打包为在桌面上运行的本机安装程序应用程序。从那里，我需要执行以下操作： a) 留在“app:”应用程序沙箱中，以便我可以将“file://”JPG 加载到我的 mx:HTML 控件中 b) 通过我的服务器 (CAKEPHP) 进行身份验证以获得有效的 CAKEPHP 会话 Cookie，以及 c) 从 javascript 安全地获取/发布 XHR 请求。

我可以使用 OAUTH 或 Facebook Connect 等方式进行身份验证而不丢失应用程序沙箱吗？看来如果我从 mx:HTML 重定向，我就会失去本地权限。

我可以使用不同的沙箱（远程？）对我的服务器进行身份验证并将会话 Cookie 安全地传递到我的应用程序沙箱吗？

这些方法中的任何一种都可以安全地抵御脚本攻击吗？

Answer 1

我可以使用 OAUTH 或 Facebook Connect 等方式进行身份验证而不丢失应用程序沙箱吗？看来如果我从 mx:HTML 重定向，我就会失去本地权限。

我可以使用不同的沙箱（远程？）对我的服务器进行身份验证并将会话 Cookie 安全地传递到我的应用程序沙箱吗？

我不知道 Air/FLEX，但您当然可以毫无问题地将 OpenID / OAUTH / Facebook Connect 集成到蛋糕应用程序的注册/登录屏幕中，然后使用它来验证您的用户。

我不会重定向，而是使用 post/get 方法将登录数据发送到蛋糕应用程序（用户/登录），确保没有为 login() 渲染视图/布局并返回用户会话数据（json_encode $this- >身份验证->用户）。

这些方法中的任何一种都可以安全地抵御脚本攻击吗？

如果您确保 login() 函数只能由应用程序访问，也许会发送唯一标识符，加密数据（通过 SSL 或只是将其序列化），那么它们就可以。此外，还对 XSS 进行了标准检查，延迟暴力破解的方法和 cake 实际上有一些很好的清理方法来处理注入（通常默认启用）。