Desde o Flash Player (ou, mais exatamente, oURLLoader classe) não permitirá que você leia cabeçalhos de resposta HTTP ou cookies definidos pelo servidor e se você se apossar de um cookie de sessão através de alguma solução alternativa, comoestendendo a mão para o navegador e execute JS, você não pode enviá-lo para o servidor, porque,entre outros, aCookie cabeçalho será bloqueado.

Agora estou construindo um cliente Flex com uma API HTTP para o meu produto de servidor. Eu controlo os dois lados, para contornar as limitações acima, agora estou me perguntando como. Eu vejo as seguintes opções:

inclua o token da sessão na carga útil HTTPinclua o token no URLconstrua meupróprio Cliente HTTP (... com blackjack e prostitutas ...) no AS, usando oSocket classe

Não gosto do (1), porque estou reimplementando a funcionalidade do meu protocolo que já está embutido no Struts, que estou usando para implementar o lado do servidor. Em seguida, tenho que garantir que ambos se comportem da mesma maneira ou desative a maneira usual de gerenciamento de sessões e force outros clientes a usarem meu protocolo, onde eles poderiam apenas fazer com que o navegador lidasse com ele.

Não gosto (2), porque entendo que há preocupações com a segurança, emboraNão tenho muita certeza de qual

Não gosto (3), porque é 2010 e vários clientes HTTP foram escritos por pessoas mais inteligentes do que eu.

Então, existem outras oportunidades? Quais dos meus "não gostos" você considera menos graves? Existem maneiras de atenuar os problemas listados? Por exemplo, quão inseguros são os tokens de sessão nos URLs?