Мне только что пришло в голову, что когда мое приложение Flex выполняет ChannelSet.login, оно по сути отправляет имя пользователя и пароль по сети в незашифрованном виде на сервер BlazeDS. Хотя я использую двоичный протокол AMF через AMFChannel, никому не нужно обнюхивать эти пароли.
Большинство моих клиентов не хотят запускать свои приложения на сайтах, защищенных https (SSL). Итак, как лучше всего это сделать? Я использую безопасность Spring на бэкэнде для аутентификации.
Должен ли я сам зашифровать учетные данные перед вызовом входа в систему? Думаю, тогда мне нужно знать алгоритм шифрования на стороне сервера.
Мысли?