剛纔我發現,當我的Flex應用程序執行ChannelSet.login時,它實際上是以未加密的形式通過線路將用戶名和密碼發送到BlazeDS服務器。雖然我通過AMFChannel使用二進制AMF協議,但對於有人嗅探這些密碼卻無需任何幫助。如何在Flex ChannelSet.login期間保護憑據?
我的大多數客戶不想在https(SSL)受保護的站點上運行其應用程序。那麼做到這一點的最好方法是什麼?我在後端使用Spring安全性來執行身份驗證。
在調用登錄名之前,我應該自己加密憑據嗎?我想我會需要知道服務器端加密algorthym。
想法?
看起來像共享加密是一條路。可以使用用戶名作爲鹽。我知道沒有辦法阻止一個堅定的黑客,但任何事情總比沒有好。 – HDave 2010-09-18 19:59:59