jri*_*her 7 java security flash facebook oauth
我正在构建一个带有Java后端的基于Flash的Facebook游戏,我打算使用RESTful方法连接它们中的两个(不是持久的套接字连接).我正在使用AS3库将客户端连接到Facebook,这就是我存储会话信息的地方.但是,如何将客户端连接授权回服务器?我不能打开回调网址,因为这样可以让人们在不玩游戏的情况下操纵游戏状态.我需要确保调用来自有效的客户端和有效的会话.
目前,用户无法直接登录后端服务器 - 它们都是通过客户端前端处理的.我可以通过后端可以验证其有效性的方式将Facebook OAuth2访问令牌传递给后端吗?这应该足以信任有效的前端连接吗?
我可以做一个双腿OAuth签名请求或只是使用一个简单的共享密钥,但密钥必须与Flash客户端打包,这使得这个用例几乎无用.
有人必须解决这个问题,但我找不到它.
如果您使用 Java 作为后端,我会考虑使用BlazeDS。它是一个用于执行 AMF 连接的出色库(它们是异步的,因此适合您的非持久套接字要求)。如果您在后端使用 Spring,我强烈建议您也使用Spring-Flex 。它添加了许多优点,使公开 AMF 服务变得轻而易举。此外,它还添加了钩子以允许“轻松”集成 Spring Security。
对于 oAuth 的内容,我会将 oAuth 部分移至 Web 端而不是 Flash 客户端(我想我明白您现在所做的就是)。通过这种方式,您可以在服务器端验证 Web 会话并保护包含 .swf 的页面。然后,当您的用户在代码中加载 .swf 时(假设您使用的是集成到 BlazeDS 中的 spring security),您可以在 cs:mx.messaging.ChannelSet 上调用 cs.authenticated。这会起作用,但可能会比您想要的更多的重写。
| 归档时间: |
|
| 查看次数: |
1169 次 |
| 最近记录: |