Помогите сделать защиту от несанкционированного доступа.

Kent1331

Дано:
скрипт доступный по адресу url/sctipt.php
Есть апи для пользования скриптом, запросы выглядят так: url/sctipt.php?f=add&arg1=1&arg2=2
ответ прихоит в JSON, например "3"
Скриптом пользуется флешка (AS3)
Задача:
Придумать алгоритм защиты использования этого скрипта, т.е. чтобы кроме флешки гарантированно никто не смог воспользоваться.
В голова пришла идея сделать чтото типа checksum.
Т.е. на запрос вычисляется checksum и прибавляется к запросу, например url/sctipt.php?f=add&arg1=1&arg2=2&checksum=2RFHZSDF64DG
скрипт вычисляет от запроса checksum и сверяет с переданным, если совпали обрабатывает, если нет, ошибка
Но насколько это безопасно? Ведь флешку можно декомпилировать...
Помогите плз советом как организовать это все. Желательно с минимальной нагрузкой на скрипт.

tokuchu

Это практически невозможно, т.к. код делающий запросы всё равно подгружается клиенту.
Кроме того, ты не должен этого хотеть.

356ft85

тебя спасет разве что обфускатор флешки - не знаю есть ли таковые и хитрый алгоритм чексуммы
(например что нельзя было два раза подряд сгенерить запрос url/sctipt.php?f=add&arg1=1&arg2=2&checksum=2RFHZSDF64DG и два раза выполнить однои тоже действие)

tipnote

поднять медиа сервер, флешку направить на работу через него, запросы к http скрипту отправлять с сервер сайд медиа сервера, на хосте http скрипта закрыть доступ всем, кроме айпишника медиа сервера
медиа серверу прописать разрешение на доступ только флешкам, загруженным с доверенного хоста.
мега куль хацкер обойдет, остальные решат, что слишком геморно разрюхивать ртмп протокол и верификацию флеш плеера у медиа сервера

tipnote

А вообще придумывай авторизацию. Если флешку загрузить может любой, то максимум, что можно, очень много гемора добавить хакерам.
Чтобы авторизация не нагружала скрипт - ставь промежуточный авторизационный сервер, а доступ к скрипту ограничивай его (сервера) айпи.