Tôi đang tạo ứng dụng truyền thông xã hội trong Flash (AS3) được tích hợp chặt chẽ với Facebook - tất cả tài khoản người dùng được xử lý qua kết nối Facebook và tất cả kết nối Facebook được xử lý thông qua kết hợp các API Javascript và AS3 Facebook. Tôi đang sử dụng Codeigniter trên chương trình phụ trợ cho quản lý dữ liệu phía máy chủ, bao gồm theo dõi hành động và dữ liệu của người dùng trên trang web thông qua URLRequests từ Flash.Thực hiện xác thực Facebook: Phía máy khách và phía máy chủ
Vấn đề của tôi là tôi không biết cách ngăn chặn giả mạo các yêu cầu máy chủ được tạo từ Flash; về mặt lý thuyết, người dùng độc hại có thể theo dõi các cuộc gọi mà Flash đang tạo cho máy chủ của tôi và sao chép chúng theo cách (ví dụ) chèn dữ liệu rác và liên kết nó với một ID người dùng Facebook đã cho trong cơ sở dữ liệu của tôi. Tất cả xác thực được thực hiện ở phía máy khách (thông qua Facebook JS API) mà không có sự can thiệp của máy chủ, vì vậy tôi đang gặp khó khăn trong việc tìm ra cách bảo mật cuộc gọi giữa Flash và máy chủ theo cách đảm bảo người dùng phải được xác thực với Facebook để tạo ra chúng.
Một khả năng tôi xem là đang sử dụng lược đồ mã hóa được khách hàng và máy chủ biết để chuyển qua lại UID Facebook, điều này chắc chắn sẽ tốt hơn là chuyển chúng đi rõ ràng. Tuy nhiên, nó sẽ chỉ mất một hacker đáng tin cậy với đủ thời gian/kiên nhẫn để phá vỡ các chương trình (hoặc dịch ngược swf) để vít tất cả mọi thứ lên.
Dù sao đi nữa, tôi có thể bị đánh giá quá mức, nhưng có vẻ như đây là điểm quan trọng và tôi thực sự không chắc chắn về cách tiếp cận tốt nhất. Bất kì phản hồi nào cũng sẽ được đánh giá cao!
Rook, bạn đang đề cập đến mã thông báo truy cập là thông tin về phiên có sẵn cho khách hàng và máy chủ có thể sử dụng thông tin này để kết nối với FB không? – Totach
Để cho bạn biết, liên kết wiki.developers.facebook của bạn bị hỏng. Tham khảo: meta.stackoverflow.com/q/101241/149820 – staticbeast
Điều này không đúng. Mặc dù đó là một cách để thực hiện điều này, nhưng hiệu quả hơn là sử dụng cookie được thiết lập bởi libs của máy khách (javascript). – MetaChrome