Aidez-moi à comprendre l'authentification des rails avec les actifs r/t, comme les swfs

Question

Je suis un designer de rails. J'ai un problème de conceptualisation du fonctionnement des actifs dans un système authentifié.

Tous les didacticiels que j'ai vus jusqu'à présent parlent de mettre vos swfs dans le dossier public et de les intégrer dans votre vue. Cependant, le swf que j'utilise est un flexible qui ne devrait être utilisé que par les utilisateurs connectés via une authentification reposante. J'imagine que mettre le gui dans le dossier public irait à l'encontre de l'objectif d'avoir un système d'authentification.

Alors, que fait tout le monde pour restreindre l'accès à ce type de contenu statique?

Answer 1

Vous voulez être un peu prudent ici. Si votre système est correctement sécurisé, un utilisateur non authentifié disposant de l'interface graphique Flex ne peut pas l'utiliser, n'est-ce pas? Il devrait également être connecté. Alors, y a-t-il une raison de ne laisser aucun utilisateur télécharger le fichier SWF?

Si le fait d'avoir le fichier SWF seul suffit à "authentifier" l'utilisation du site, vous avez un trou de sécurité. Envisager

a) Un utilisateur pourrait donner une copie du fichier SWF téléchargé à quelqu'un d'autre, qui pourrait alors l'utiliser, même s'il était incapable de le télécharger depuis votre site. B) L'interface graphique Flex utilise HTTP pour communiquer avec votre site, récupérer des données et envoyer des commandes. N'importe qui peut écrire un programme ou utiliser d'autres moyens pour envoyer les mêmes requêtes HTTP, sans utiliser l'interface graphique Flex.