我是铁杆菜鸟。我在概念化资产如何在经过身份验证的系统中工作时遇到了问题。
到目前为止,我见过的所有教程都讨论了将swfs放在公共文件夹中并将它们嵌入到视图中。但是,我使用的swf是一个flex gui,只能由通过restful-authentication登录的用户使用。我想将gui放入公共文件夹将会破坏拥有身份验证系统的全部目的。
那么每个人都在限制访问这种静态内容的行为是什么?
答案 0 :(得分:4)
你想在这里小心点。如果您的系统受到适当保护,拥有Flex GUI的未经身份验证的用户无法使用它,对吧?他还必须登录。那么,有没有理由不让任何用户下载SWF文件?
如果单独使用SWF文件就足以使用该网站进行“身份验证”,则会出现安全漏洞。考虑
a)用户可以将下载的SWF文件的副本提供给其他人,然后他们可以使用它,即使他无法从您的网站下载它。
b)Flex GUI使用HTTP与您的站点通信,检索数据和发送命令。任何人都可以编写程序或使用其他方法发送相同的HTTP请求,而无需使用Flex GUI。