Moze se na vise nacina, najjednostavniji je, naravno, koristiti neki vid "serverske" autentikacije (znaci .htaccess)...

Nisam dobro bas pitanje postavio.
Radi se o takvom servisu da korisnik dobije deo koda(html) koji stavi na svoju web stranu. Npr kao sto je konvertor valuta. Taj html(i js) kod dalje skida sa mog sajta podatke(u xml formatu).Da napomenem da se radi o xml formatu jer ce klijenti biti i desktop aplikacije.
U vezi sifre je broblem sto sifra ne moze da se stavi u html jer ce svi videte.
Kako da u tom slucaju napravim zastitu?

Pa web server nece uopste poslati HTML kod posetiocima koji nisu autentikovani...

Da ali zamisao je da se korisnici "nalaze" u bazi i da mogu sami da se prijave za web servis. Neznam dal mogu u tom slucaju da koristim .htacess i dali bih mogao iz php-a da generisem .htacess?

A kako pravis XML? Iz neke baze ili direktno?

Hm, a zašto ne bi pogledao neko od postojećih rešenja za veb usluge, uključujući tu i jednostavan XML-RPC, pa do složenijeg SOAP-a?

Mislio sam da radim sa nuSOAP klasom za php ali necu iz nekih razloka znaci isporucivacu cist XML koji generisem iz baze.
Deo generisanok XML koda:


XML pravim iz baze.
Kolko sam do sada ukapirao jedino mogu da zastitim po domenu sa kojeg se trazi strana, samo ne znam kolko je to sigurno.

Neznam kako bih mogao sa htacesom da zatitim jer klijent dobije html kod koji stavi na stranu svog sajta i na taj nacin konzumira servis.

Hm, da li isporučuješ HTML kod ili čist XML?

Nešto tu smrdi, a to nisam ja!

Npr. u php bi dosao na pocetak skripte:
header("Content-Type: text/xml\r\n");
tako da nije HTML.

A kako to koriste „mušterije“ ako im proslediš samo HTML kod?

Ako ne prosleđuješ HTML kod, onda možeš koristiti bilo koju od HTTP zaštita.

Naprimer dobiju kod slican ovom:

koji copy-paste na njihov sajt i stvar resena.
taj kod ucitava flash klijenta za servis(samo ovde nema zastite).

Koju bih mogao http zastitu da stavim?

Hm, pa taj „Flash klijent“ bi morao da sadrži takve mogućnosti. To je potpuno van domena XML-a, a i HTTP-a i HTML-a.

Ti identifikaciju možeš izvesti na bilo kojem od pomenutih nivoa (XML, HTTP), ali je problem što je tvoj „klijent“ šupalj ;-)

Što se tiče HTTP-a, koristi npr. HTTP Basic authentication, ili bilo koju drugu. Naravno, taj klijent mora to da podržava.

Sad te stvarno nista nerazumem.
kako supalj? nije bre supalj totalno je cool :)

ma towk hoće da ti kaže da ti je cela postavka malo pogrešna, i da nema mnogo veze sa XML forumom.

XML sam po sebi nema logiku kojom bi mogao da obezbedi da se koristi samo na određenim sajtovima. xml je samo način zapisa podataka.

sa druge strane, taj tvoj klijent ima logiku (on upravlja podacima), i tu bi trebalo da ubaciš i proveru.

ne razumem se mnogo u flash/AS, ali verovatno možeš da proveriš sa kog sajta ti je učitan flash, i ako nije jedan od "odabranih" sajtova, treba jednostavno da odbije da se izvrši..


a ako se plašiš da li će ti neko drugi pristupiti direktno XMLu, bez tvog klijenta, onda možeš da dodaš i neki app-key (kao što recimo google radi sa svojim web servisima). naime, osim već postojećih parametara koje tvoj klijent prosleđuje web servisu, dodaj i jedan dugački ID string, koji će biti različit kod svake instance tvog klijenta. naravno, njega nemoj da prosleđuješ preko parametara flashu, već ih hardkoduj u sam flash fajl..

Slazem se u vezi postavke.
Ovo drugo, "da hardkodujem u flash" nerazumem bas ako mislis da generisem .swf na serveru sa tim kodom, to nemogu.

Nesto definitivvno sa app-key treba odraditi.