微信小程序-API接口安全详解


Posted in Javascript onJuly 16, 2019

一.接口安全的必要性

最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口。这就可能会造成接口安全问题。一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,他们就可以随意调用后台接口,进行数据的篡改和服务器的攻击,会对一个企业造成很严重的影响。

因此,为了防止恶意调用,后台接口的防护和权限校验非常重要。

虽然小程序有HTTPs和微信保驾护航,但是还是要加强安全意识,对后端接口进行安全防护和权限校验。

二.小程序接口防护

小程序的登录过程:

微信小程序-API接口安全详解

  1. 小程序端通过wx.login()获取到code后发送给后台服务器
  2. 后台服务器使用小程序的appid、appsecret和code,调用微信接口服务换取session_key和openid(openid可以理解为是每个用户在该小程序的唯一识别号)
  3. 后台服务器自定义生成一个3rd_session,用作openid和session_key的key值,后者作为value值,保存一份在后台服务器或者redis或者mysql,同时向小程序端传递3rd_session
  4. 小程序端收到3rd_session后将其保存到本地缓存,如wx.setStorageSync(KEY,DATA)
  5. 后续小程序端发送请求至后台服务器时均携带3rd_session,可将其放在header头部或者body里
  6. 后台服务器以3rd_session为key,在保证3rd_session未过期的情况下读取出value值(即openid和session_key的组合值),通过openid判断是哪个用户发送的请求,再和发送过来的body值做对比(如有),无误后调用后台逻辑处理
  7. 返回业务数据至小程序端

会话密钥session_key 是对用户数据进行加密签名的密钥。为了应用自身的数据安全,开发者服务器不应该把会话密钥下发到小程序,也不应该对外提供这个密钥。

session_key主要用于wx.getUserInfo接口数据的加解密,如下图所示:

微信小程序-API接口安全详解

sessionId

在微信小程序开发中,由wx.request()发起的每次请求对于服务端来说都是不同的一次会话。啥意思呢?就是说区别于浏览器,小程序每一次请求都相当于用不同的浏览器发的。即不同的请求之间的sessionId不一样(实际上小程序cookie没有携带sessionId)。

如下图所示:

微信小程序-API接口安全详解

实际上小程序的每次wx.request()请求中没有包含cookie信息,即没有sessionId信息。

但是我们可以在每次wx.request()中的header里增加。

接口防护方法

  • 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度
  • 接口参数的加密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用aes/des之类的加密算法,还可以加入客户端的本地信息作为判断依据
  • 本地加密混淆,以上提到的加解密数据和算法,不要直接放在本地代码,因为很容易被反编译和破解,建议放到独立模块中去,并且函数名称越混淆越难读越安全。
  • User-Agent 和 Referer 限制
  • api防护的登录验证,包括设备验证和用户验证,可以通过检查session等方式来判断用户是否登录
  • api的访问次数限制,限制其每分钟的api调用次数,可以通过session或者ip来做限制
  • 定期监测,检查日志,侦查异常的接口访问

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
javascript 流畅动画实现原理
Sep 08 Javascript
JS获取IP、MAC和主机名的五种方法
Nov 14 Javascript
js控制input框只读实现示例
Jan 20 Javascript
node.js中的fs.mkdir方法使用说明
Dec 17 Javascript
基于Jquery实现表单验证
Jul 20 Javascript
带有定位当前位置的百度地图前端web api实例代码
Jun 21 Javascript
JS与HTML结合使用marquee标签实现无缝滚动效果代码
Jul 05 Javascript
微信小程序 Image API实例详解
Sep 30 Javascript
原生js实现水平方向无缝滚动
Jan 10 Javascript
js实现下拉框效果(select)
Mar 28 Javascript
JS实现可控制的进度条
Mar 25 Javascript
解决vue动态下拉菜单 有数据未反应的问题
Aug 06 Javascript
jquery实现垂直无限轮播的方法分析
Jul 16 #jQuery
JavaScript解析JSON数据示例
Jul 16 #Javascript
微信小程序 Storage更新详解
Jul 16 #Javascript
微信小程序实现张图片合成为一张并下载
Jul 16 #Javascript
JQuery实现简单的复选框树形结构图示例【附源码下载】
Jul 16 #jQuery
JS实现的排列组合算法示例
Jul 16 #Javascript
使用Phantomjs和Node完成网页的截屏快照的方法
Jul 16 #Javascript
You might like
解析Extjs与php数据交互(增删查改)
2013/06/25 PHP
浅析Mysql 数据回滚错误的解决方法
2013/08/05 PHP
php+html5使用FormData对象提交表单及上传图片的方法
2015/02/11 PHP
php图像处理类实例
2015/07/28 PHP
解决yii2左侧菜单子级无法高亮问题的方法
2016/05/08 PHP
使用laravel和ajax实现整个页面无刷新的操作方法
2019/10/03 PHP
jQuery 剧场版 你必须知道的javascript
2009/05/27 Javascript
基于jquery实现的上传图片及图片大小验证、图片预览效果代码
2011/04/12 Javascript
IE6-IE9中tbody的innerHTML不能赋值的解决方法
2014/09/26 Javascript
JavaScript实现节点的删除与序号重建实例
2015/08/05 Javascript
nodejs入门教程六:express模块用法示例
2017/04/24 NodeJs
Angular 4中如何显示内容的CSS样式示例代码
2017/11/06 Javascript
JS动态添加元素及绑定事件造成程序重复执行解决
2017/12/07 Javascript
微信小程序自定义导航栏(模板化)
2019/11/15 Javascript
使用webpack搭建vue环境的教程详解
2019/12/31 Javascript
从零学python系列之新版本导入httplib模块报ImportError解决方案
2014/05/23 Python
Python中的列表知识点汇总
2015/04/14 Python
pygame学习笔记(6):完成一个简单的游戏
2015/04/15 Python
简述Python中的面向对象编程的概念
2015/04/27 Python
对Python中gensim库word2vec的使用详解
2018/05/08 Python
python文件操作的简单方法总结
2019/11/07 Python
使用Python测试Ping主机IP和某端口是否开放的实例
2019/12/17 Python
tensorflow 实现打印pb模型的所有节点
2020/01/23 Python
使用Python文件读写,自定义分隔符(custom delimiter)
2020/07/05 Python
CSS中的字体大小设置属性总结
2016/05/24 HTML / CSS
关于Java finally的面试题
2016/04/27 面试题
技术学校毕业生求职信分享
2013/12/02 职场文书
护士自我介绍信
2014/01/13 职场文书
《闻一多先生的说和做》教学反思
2014/04/28 职场文书
个人自荐材料
2014/05/23 职场文书
村当支部个人对照检查材料思想汇报
2014/10/06 职场文书
期末个人总结范文
2015/02/13 职场文书
《曹冲称象》教学反思
2016/02/20 职场文书
教师个人教学反思
2016/02/23 职场文书
MySQL infobright的安装步骤
2021/04/07 MySQL
JavaScript函数柯里化
2021/11/07 Javascript