Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails 帮助我了解rails身份验证w/r/t资产,如SWF

Ruby on rails 帮助我了解rails身份验证w/r/t资产,如SWF

ruby-on-rails apache-flex security

Ruby on rails 帮助我了解rails身份验证w/r/t资产,如SWF,ruby-on-rails,apache-flex,security,restful-authentication,Ruby On Rails,Apache Flex,Security,Restful Authentication,我是个疯子。我在概念化资产如何在经过身份验证的系统中工作时遇到了一个问题 到目前为止,我看到的所有教程都谈到将主权财富基金放入公共文件夹并将其嵌入视图中。然而,我使用的swf是一个FlexGUI,它应该只由通过restful身份验证登录的用户使用。我认为,将gui放入公用文件夹将破坏拥有身份验证系统的全部目的 那么,每个人都在做什么来限制对此类静态内容的访问呢?在这里,您需要小心一点。如果您的系统得到了适当的保护,那么拥有Flex GUI的未经验证的用户就不能使用它,对吗?他还必须登录。那么,有

我是个疯子。我在概念化资产如何在经过身份验证的系统中工作时遇到了一个问题

到目前为止,我看到的所有教程都谈到将主权财富基金放入公共文件夹并将其嵌入视图中。然而,我使用的swf是一个FlexGUI,它应该只由通过restful身份验证登录的用户使用。我认为,将gui放入公用文件夹将破坏拥有身份验证系统的全部目的

那么,每个人都在做什么来限制对此类静态内容的访问呢?

在这里,您需要小心一点。如果您的系统得到了适当的保护,那么拥有Flex GUI的未经验证的用户就不能使用它,对吗?他还必须登录。那么,有什么理由不让任何用户下载SWF文件吗

如果只有SWF文件就足以使用该站点进行“身份验证”,那么就存在安全漏洞。考虑

a) 用户可以将下载的SWF文件的副本提供给其他人,他们可以使用它,即使他无法从您的站点下载

b) FlexGUI使用HTTP与站点通信,检索数据和发送命令。任何人都可以编写程序或使用其他方式发送相同的HTTP请求,而无需使用Flex GUI。

在这里您需要小心一点。如果您的系统得到了适当的保护,那么拥有Flex GUI的未经验证的用户就不能使用它,对吗?他还必须登录。那么,有什么理由不让任何用户下载SWF文件吗

如果只有SWF文件就足以使用该站点进行“身份验证”,那么就存在安全漏洞。考虑

a) 用户可以将下载的SWF文件的副本提供给其他人,他们可以使用它,即使他无法从您的站点下载

b) FlexGUI使用HTTP与站点通信,检索数据和发送命令。任何人都可以编写程序或使用其他方式发送相同的HTTP请求,而无需使用Flex GUI。

这非常有意义。我将要求所有控制器登录,并将swf公开。谢谢这很有道理。我将要求所有控制器登录,并将swf公开。谢谢