actionscript-3 - 安全性:AS3 中的成就和分数 API

Question

多年来，在 Flash 游戏开发方面，我已经成为一个 super Nerd 。现在我正在考虑使用我的技能来帮助其他游戏开发者。

我想在 AS3 中开发一个 API，它允许开发人员(作为开始)执行以下操作:

显示一个对话框，让用户登录他们的“帐户”(托管在我的网站上)。

向网站发送分数/值并将其归因于登录用户。

解锁成就(成就将由开发人员在 Web 界面中设置 - 在那里他们还将获得某种类型的 key 以用于他们的 API。

显示高分、其他玩家在游戏中的资料等(基本上显示游戏中的任何统计数据)。

所有这些都很容易直接开发。然而;令人沮丧的是安全性。我并不期待我完全意识到的坚不可摧的解决方案是不可能的，但是 会是什么？最多防御方法来解决这个问题？

以下是我现场能想到的问题:

最重要的 - 人们通过中间人攻击窃取 API key 。

高分注入(inject)，虚假成就解锁。

反编译 SWF 并窃取 API key 。

使用 API key 创建虚拟闪存应用程序并发送高分等随机数据。

更改 API 本身，以便您无需登录等。

我的一个想法是将我的 API 转换为组件，因此无法访问代码(除非您反编译)。这里的问题是它对开发人员不友好，尽管它允许我为 UI 创建自己的图形(而不是编写很多很多 Sprite )。

除非有很好的反编译保护，否则私钥/公钥将不起作用。

我开始怀疑这个想法是否是一个死胡同。

任何关于保护这个(或部分)的建议都会很棒。

Answer 1

如果您还没有这样做，请先查看此线程:What is the best way to stop people hacking the PHP-based highscore table of a Flash game