如何使用远程服务器(CAKEPHP)验证桌面FLEX/AIR应用程序？

Question

我有一个Adobe /FLEX应用程序打包成一个在桌面上运行的本机安装程序。在这里，我需要做以下工作：( a)停留在"app:“应用程序沙箱中，以便将"file://”JPG加载到我的mx:HTML中)与我的服务器( CAKEPHP )进行身份验证，以获得有效的CAKEPHP；以及( c)安全地从javascript获取/处理XHR请求。

我可以使用诸如OAUTH或Facebook之类的方法进行身份验证而不会丢失应用程序沙箱吗？似乎如果我从mx:HTML重定向，就会失去我的本地特权。

是否可以使用不同的沙箱(远程)与服务器进行身份验证？并安全地将会话Cookie传递给我的应用程序沙箱？

这些方法中的任何一种对脚本攻击都是安全的吗？

Answer 1

可以使用诸如OAUTH或Facebook之类的工具进行身份验证，而不会丢失应用程序沙箱？似乎如果我从mx:HTML重定向，就会失去我的本地特权。

是否可以使用不同的沙箱(远程)与服务器进行身份验证？并安全地将会话Cookie传递给我的应用程序沙箱？

我不知道Air/FLEX，但当然您可以将OpenID / OAUTH / Facebook集成到蛋糕应用程序的注册/登录屏幕中，而不存在任何问题，然后使用它对用户进行身份验证。

我不会重定向，而是使用post/get方法将登录数据发送到蛋糕应用程序( user / login )，确保不为login()呈现视图/布局，并返回用户会话数据(json_encode $this->Auth->user)。

中的任何一种方法对脚本攻击是安全的吗？

如果您确保login()函数只能由应用程序访问，可能会发送唯一的标识符，对数据进行加密(通过SSL或只是序列化数据)，就可以做到这一点。另外，对XSS进行标准检查，延迟蛮力和蛋糕的方法实际上有一些很好的消毒方法来处理注射器(通常默认启用)。