Помогите мне разобраться в аутентификации rails с активами r / t, например, swfs

Question

Я рельс нуб. У меня проблема с концептуализацией работы активов в аутентифицированной системе.

Все уроки, которые я видел до сих пор, рассказывают о том, как поместить ваши SWF-файлы в общую папку и внедрить их в ваш вид. Тем не менее, SWF, который я использую, представляет собой гибкий графический интерфейс, который должен использоваться только пользователями, вошедшими в систему с помощью restful-аутентификации. Я полагаю, что помещение графического интерфейса в общую папку нанесло бы ущерб цели использования системы аутентификации.

Так, что все делают, чтобы ограничить доступ к этому статическому контенту?

Answer 1

Вы хотите быть здесь немного осторожнее. Если ваша система надежно защищена, не прошедший проверку подлинности пользователь с графическим интерфейсом Flex не сможет ее использовать, верно? Он также должен быть авторизован. Итак, есть ли причина не позволять любому пользователю загружать SWF-файл?

Если наличие одного SWF-файла является достаточной «аутентификацией» для использования сайта, у вас есть дыра в безопасности. Рассмотрим

a) Пользователь может передать копию загруженного SWF-файла кому-то другому, который затем сможет использовать его, даже если он не сможет загрузить его с вашего сайта.

b) Flex GUI использует HTTP для связи с вашим сайтом, для извлечения данных и отправки команд. Любой может написать программу или использовать другие средства для отправки тех же HTTP-запросов без использования графического интерфейса Flex.