Desde Flash Player (o, más exactamente, elURLLoader clase) no le permitirá leer las cabeceras de respuesta HTTP o las cookies establecidas por el servidor, y si obtiene una cookie de sesión a través de alguna solución alternativa comollegar al navegador y ejecutar JS, no puede enviarlo al servidor porque,entre otros, elCookie El encabezado será bloqueado.

Ahora estoy creando un cliente Flex contra una API HTTP para mi producto de servidor. Yo controlo ambos lados, así puedo sortear las limitaciones anteriores, ahora me pregunto cómo. Veo las siguientes opciones:

incluir el token de sesión en la carga HTTPincluir el token en la URLconstruir mipropio Cliente HTTP (... con blackjack y hookers ...) en AS, utilizando elSocket clase

No me gusta (1), porque estoy reimplementando la funcionalidad en mi protocolo que ya está integrada en Struts, que estoy usando para implementar el lado del servidor. Luego tengo que asegurarme de que ambos se comporten de la misma manera, o apaguen la forma habitual de administración de la sesión y obliguen a otros clientes a usar mi protocolo donde puedan hacer que el navegador se encargue de ello.

No me gusta (2), porque entiendo que hay problemas de seguridad con esto, aunqueNo estoy muy seguro de cuál

No me gusta (3), porque es 2010 y toneladas de clientes HTTP han sido escritos por personas más inteligentes que yo.

Entonces, ¿hay otras oportunidades? ¿Cuál de mis "no me gusta" crees que es menos grave? ¿Hay formas de mitigar los problemas que enumeré? Por ejemplo, ¿qué tan inseguras son realmente los tokens de sesión en las URL?