Les cuento:
Estoy haciendo una aplicación en Flex 4, la cual se podrá usar desde web y habrá otra versión instalable que será con AIR.
El punto es que ambas necesitan consultar a un servidor XML-RPC que he hecho en Python y necesito de alguna manera, validar que las consultas que lleguen al servidor XML-RPC sean de la aplicación web o AIR y nada más. Es decir, proteger el servidor XML-RPC de consultas ajenas.
Había pensado en tener una llave secreta en las aplicaciones que autentifique contra el servidor mezclando la llave y algun dato dinámico, que el servidor genere un hash, guarde la sesión en la base de datos y devuelva una cadena encriptada para autentificar cada consulta. El problema es que de todas formas las aplicaciones se pueden descompilar, ver la llave secreta y simular ser la aplicación para acceder al servidor XML-RPC.
Si alguien ha tenido este problema y lo hizo de alguna forma, le agradecería mucho la información, si no, aportemos ideas de cómo hacer algo seguro, porque seguro que alguno topará con este dilema en algún momento.
¡Gracias!.
