微信小程序-API接口安全详解


Posted in Javascript onJuly 16, 2019

一.接口安全的必要性

最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口。这就可能会造成接口安全问题。一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,他们就可以随意调用后台接口,进行数据的篡改和服务器的攻击,会对一个企业造成很严重的影响。

因此,为了防止恶意调用,后台接口的防护和权限校验非常重要。

虽然小程序有HTTPs和微信保驾护航,但是还是要加强安全意识,对后端接口进行安全防护和权限校验。

二.小程序接口防护

小程序的登录过程:

微信小程序-API接口安全详解

  1. 小程序端通过wx.login()获取到code后发送给后台服务器
  2. 后台服务器使用小程序的appid、appsecret和code,调用微信接口服务换取session_key和openid(openid可以理解为是每个用户在该小程序的唯一识别号)
  3. 后台服务器自定义生成一个3rd_session,用作openid和session_key的key值,后者作为value值,保存一份在后台服务器或者redis或者mysql,同时向小程序端传递3rd_session
  4. 小程序端收到3rd_session后将其保存到本地缓存,如wx.setStorageSync(KEY,DATA)
  5. 后续小程序端发送请求至后台服务器时均携带3rd_session,可将其放在header头部或者body里
  6. 后台服务器以3rd_session为key,在保证3rd_session未过期的情况下读取出value值(即openid和session_key的组合值),通过openid判断是哪个用户发送的请求,再和发送过来的body值做对比(如有),无误后调用后台逻辑处理
  7. 返回业务数据至小程序端

会话密钥session_key 是对用户数据进行加密签名的密钥。为了应用自身的数据安全,开发者服务器不应该把会话密钥下发到小程序,也不应该对外提供这个密钥。

session_key主要用于wx.getUserInfo接口数据的加解密,如下图所示:

微信小程序-API接口安全详解

sessionId

在微信小程序开发中,由wx.request()发起的每次请求对于服务端来说都是不同的一次会话。啥意思呢?就是说区别于浏览器,小程序每一次请求都相当于用不同的浏览器发的。即不同的请求之间的sessionId不一样(实际上小程序cookie没有携带sessionId)。

如下图所示:

微信小程序-API接口安全详解

实际上小程序的每次wx.request()请求中没有包含cookie信息,即没有sessionId信息。

但是我们可以在每次wx.request()中的header里增加。

接口防护方法

  • 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度
  • 接口参数的加密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用aes/des之类的加密算法,还可以加入客户端的本地信息作为判断依据
  • 本地加密混淆,以上提到的加解密数据和算法,不要直接放在本地代码,因为很容易被反编译和破解,建议放到独立模块中去,并且函数名称越混淆越难读越安全。
  • User-Agent 和 Referer 限制
  • api防护的登录验证,包括设备验证和用户验证,可以通过检查session等方式来判断用户是否登录
  • api的访问次数限制,限制其每分钟的api调用次数,可以通过session或者ip来做限制
  • 定期监测,检查日志,侦查异常的接口访问

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
Prototype 学习 工具函数学习($A方法)
Jul 12 Javascript
javascript URL编码和解码使用说明
Apr 12 Javascript
JavaScript 语言基础知识点总结(思维导图)
Nov 10 Javascript
iframe里使用JavaScript控制主页转向的方法
Apr 03 Javascript
jquery使用each方法遍历json格式数据实例
May 18 Javascript
基于js实现的限制文本框只可以输入数字
Dec 05 Javascript
详解Bootstrap各式各样的按钮(推荐)
Dec 13 Javascript
javascript连接mysql与php通过odbc连接任意数据库的实例
Dec 27 Javascript
微信小程序动态生成二维码的实现代码
Jul 25 Javascript
Vue项目总结之webpack常规打包优化方案
Jun 06 Javascript
Vue实现图书管理小案例
Dec 03 Vue.js
如何理解Vue简单状态管理之store模式
May 15 Vue.js
jquery实现垂直无限轮播的方法分析
Jul 16 #jQuery
JavaScript解析JSON数据示例
Jul 16 #Javascript
微信小程序 Storage更新详解
Jul 16 #Javascript
微信小程序实现张图片合成为一张并下载
Jul 16 #Javascript
JQuery实现简单的复选框树形结构图示例【附源码下载】
Jul 16 #jQuery
JS实现的排列组合算法示例
Jul 16 #Javascript
使用Phantomjs和Node完成网页的截屏快照的方法
Jul 16 #Javascript
You might like
PHP中spl_autoload_register函数的用法总结
2013/11/07 PHP
网页上facebook分享功能具体实现
2014/01/26 PHP
PHP字符串比较函数strcmp()和strcasecmp()使用总结
2014/11/19 PHP
php站内搜索关键词变亮的实现方法
2014/12/30 PHP
php实现统计目录文件大小的函数
2015/12/25 PHP
PHP实现登录验证码校验功能
2018/05/17 PHP
javascript 带有滚动条的表格,标题固定,带排序功能.
2009/11/13 Javascript
基于jquery的气泡提示效果
2010/05/31 Javascript
使用jquery插件实现图片延迟加载技术详细说明
2011/03/12 Javascript
jquery入门必备的基本认识及实例(整理)
2013/06/24 Javascript
javascript禁用键盘功能键让右击及其他键无效
2013/10/09 Javascript
简要了解jQuery移动web开发的响应式布局设计
2015/12/04 Javascript
jQuery Easyui学习教程之实现datagrid在没有数据时显示相关提示内容
2016/07/09 Javascript
纯JS实现表单验证实例
2016/12/24 Javascript
原生js实现中奖信息无间隙滚动效果
2017/01/18 Javascript
快速将Vue项目升级到webpack3的方法步骤
2017/09/14 Javascript
vue实现登录后页面跳转到之前页面
2018/01/07 Javascript
微信小程序实现的3d轮播图效果示例【基于swiper组件】
2018/12/11 Javascript
使用vue-cli3新建一个项目并写好基本配置(推荐)
2019/04/24 Javascript
手把手教你使用TypeScript开发Node.js应用
2019/05/06 Javascript
微信端调取相册和摄像头功能,实现图片上传,并上传到服务器
2019/05/16 Javascript
Ant Design Pro 之 ProTable使用操作
2020/10/31 Javascript
Python的Flask站点中集成xhEditor文本编辑器的教程
2016/06/13 Python
解决python中使用plot画图,图不显示的问题
2018/07/04 Python
Python(PyS60)实现简单语音整点报时
2019/11/18 Python
python3 动态模块导入与全局变量使用实例
2019/12/22 Python
python2.7使用scapy发送syn实例
2020/05/05 Python
在Keras中利用np.random.shuffle()打乱数据集实例
2020/06/15 Python
Python Selenium模块安装使用教程详解
2020/07/09 Python
HolidayLettings英国:预订最好的度假公寓、别墅和自助式住宿
2019/08/27 全球购物
往来会计岗位职责
2013/12/19 职场文书
乡镇总工会学雷锋活动总结
2014/03/01 职场文书
家长会欢迎标语
2014/06/24 职场文书
群教个人对照检查材料
2014/08/20 职场文书
党的群众路线教育实践活动领导班子整改方案
2014/10/25 职场文书
golang switch语句的灵活写法介绍
2021/05/06 Golang