Flash 应用程序调用身份验证
我对flash和其他web技术的了解不是很好,但我想知道,使用自己的应用程序API(如Facebook)的网站如何对来自应用程序的调用进行身份验证?我对FacebookAPI不太熟悉,但Vkontakte(类似网站)使用密钥、会话id和方法参数来生成查询。为什么有恶意意图的人不可能在应用程序运行时计算出这些参数,并通过(比如)更改数据包来发送完全不同的查询?我有点计划为Vkontakte编写一个应用程序,但我不明白这些应用程序是如何受到保护的。如果有人能向我推荐有关这些问题的任何文献,我也将非常感激。安全性在于,您的共享秘密永远不应该通过网络传播。例如,使用Facebook,您可以使用应用程序机密验证服务器上的cookie。如果您没有在服务器上执行任何验证,那么您的正确性在于访问令牌或其他不安全的东西。然而,需要记住的是,对于这些站点,访问令牌与单个用户相关联。因此,即使此人更改了cookie或其他任何内容,访问令牌仍然只有访问单个facebook帐户的权限。所以这个人会对自己的账户进行恶意攻击 因此,对于flash或javascript,您总是假设访问令牌和cookie数据不安全。只有在验证cookie数据以确保cookie来自合法来源之后,您才能在服务器上执行任何对安全至关重要的操作。我假设vkontakte以非常相似的方式工作Flash 应用程序调用身份验证,flash,facebook,web-applications,vk,Flash,Facebook,Web Applications,Vk,我对flash和其他web技术的了解不是很好,但我想知道,使用自己的应用程序API(如Facebook)的网站如何对来自应用程序的调用进行身份验证?我对FacebookAPI不太熟悉,但Vkontakte(类似网站)使用密钥、会话id和方法参数来生成查询。为什么有恶意意图的人不可能在应用程序运行时计算出这些参数,并通过(比如)更改数据包来发送完全不同的查询?我有点计划为Vkontakte编写一个应用程序,但我不明白这些应用程序是如何受到保护的。如果有人能向我推荐有关这些问题的任何文献,我也将非常
同样,最大的问题是永远不要将您的密钥传输到服务器之外。安全性在于,您的共享密钥永远不应该通过web传输。例如,使用Facebook,您可以使用应用程序机密验证服务器上的cookie。如果您没有在服务器上执行任何验证,那么您的正确性在于访问令牌或其他不安全的东西。然而,需要记住的是,对于这些站点,访问令牌与单个用户相关联。因此,即使此人更改了cookie或其他任何内容,访问令牌仍然只有访问单个facebook帐户的权限。所以这个人会对自己的账户进行恶意攻击 因此,对于flash或javascript,您总是假设访问令牌和cookie数据不安全。只有在验证cookie数据以确保cookie来自合法来源之后,您才能在服务器上执行任何对安全至关重要的操作。我假设vkontakte以非常相似的方式工作 同样,最大的问题是永远不要将密钥传输到服务器之外