Flex login-Seguridad consejos

Hola a todos ; vengo a pedirle unos consejos sobre como llevarian la seguridad web en una aplicacion totalmente hecha en flex.

Para el login estoy utilizando php y weborb, como explico conejo en un tuto, al obtener la respuesta positiva de acceso mediante la comprobacion del script de php a la BD le cambiaba el state al de administrador en la aplicacion, sin embargo no se que tan seguro puede ser.

Podrian dar algunos consejos de cual seria la mejor forma de hacerlo segun su experiencia, y en una web totalmente hecha en flex.

Esperando los sabios consejos de los clabbers me despido
JJJDDD!

nadie?

Buenas, paso a revivir el post! Me interesaría saber exactamente lo mismo... yo hice algo parecido a lo que comentas, una petición de login al servidor con un PHP y me devuelve un XML al estilo <loginSuccess>si</loginSuccess> o <loginSuccess>no</loginSuccess> si el usuario y contraseña existen, de acuerdo a eso muestro un alert si no se pudo efectuar el Login, o cambio de State en Aplication. Lo que me interesa es saber si se puede mantener una session y como se haría... si saben de algún tutorial o algo para ver y estudiar algún ejemplo, lo que sea! Toda info es bienvenida

Saludos

Jonathan

En flex, es bastante jodido el saltarse un cambio de estado por fuera, si eso lo que temes. De todos modos lo mejor es que el login tras efectuarse en el servidor y ser positivo, NO devuelva un si/no o un 1/0, sino que devuelva una instancia de objeto que contenga varias keys a casar, por ejemplo:

timestamp del servidor y casarlo con el timestamp del cliente, desde que se inició la petición hasta que se devolvió por si se pausó por medio o se quiere simular solo una parte del camino
cadena con clase a instanciar en flex por reflexión que recogerá por parámetros en su constructor dicho timestamp y alguna key de operación aleatoria del servidor
la key aleatoria, la cual la usará la clase dinámica para realizar una llamada de autenticación contra un servicio en todo el tiempo de operación. Es decir como session_id, pero puedes mantener una lista de clientes conectados con información importante, permitiendote esto el entrar o no, dado que esa clase dinámica es la que realmente cambia de estado el cliente flex cuando obtiene el ok del servidor con los datos del user logueado.

Así puedes seguir complicandolo tanto como quieras, la idea es que de algun modo sea el servidor el que cambie el estado de la aplicación y no el cliente.

Pero insisto, es un pelin paranoico esto, usando set credentials y una buena politica de states en flex suele ser suficiente

Un saludo...