微信小程序-API接口安全详解


Posted in Javascript onJuly 16, 2019

一.接口安全的必要性

最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口。这就可能会造成接口安全问题。一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,他们就可以随意调用后台接口,进行数据的篡改和服务器的攻击,会对一个企业造成很严重的影响。

因此,为了防止恶意调用,后台接口的防护和权限校验非常重要。

虽然小程序有HTTPs和微信保驾护航,但是还是要加强安全意识,对后端接口进行安全防护和权限校验。

二.小程序接口防护

小程序的登录过程:

微信小程序-API接口安全详解

  1. 小程序端通过wx.login()获取到code后发送给后台服务器
  2. 后台服务器使用小程序的appid、appsecret和code,调用微信接口服务换取session_key和openid(openid可以理解为是每个用户在该小程序的唯一识别号)
  3. 后台服务器自定义生成一个3rd_session,用作openid和session_key的key值,后者作为value值,保存一份在后台服务器或者redis或者mysql,同时向小程序端传递3rd_session
  4. 小程序端收到3rd_session后将其保存到本地缓存,如wx.setStorageSync(KEY,DATA)
  5. 后续小程序端发送请求至后台服务器时均携带3rd_session,可将其放在header头部或者body里
  6. 后台服务器以3rd_session为key,在保证3rd_session未过期的情况下读取出value值(即openid和session_key的组合值),通过openid判断是哪个用户发送的请求,再和发送过来的body值做对比(如有),无误后调用后台逻辑处理
  7. 返回业务数据至小程序端

会话密钥session_key 是对用户数据进行加密签名的密钥。为了应用自身的数据安全,开发者服务器不应该把会话密钥下发到小程序,也不应该对外提供这个密钥。

session_key主要用于wx.getUserInfo接口数据的加解密,如下图所示:

微信小程序-API接口安全详解

sessionId

在微信小程序开发中,由wx.request()发起的每次请求对于服务端来说都是不同的一次会话。啥意思呢?就是说区别于浏览器,小程序每一次请求都相当于用不同的浏览器发的。即不同的请求之间的sessionId不一样(实际上小程序cookie没有携带sessionId)。

如下图所示:

微信小程序-API接口安全详解

实际上小程序的每次wx.request()请求中没有包含cookie信息,即没有sessionId信息。

但是我们可以在每次wx.request()中的header里增加。

接口防护方法

  • 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度
  • 接口参数的加密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用aes/des之类的加密算法,还可以加入客户端的本地信息作为判断依据
  • 本地加密混淆,以上提到的加解密数据和算法,不要直接放在本地代码,因为很容易被反编译和破解,建议放到独立模块中去,并且函数名称越混淆越难读越安全。
  • User-Agent 和 Referer 限制
  • api防护的登录验证,包括设备验证和用户验证,可以通过检查session等方式来判断用户是否登录
  • api的访问次数限制,限制其每分钟的api调用次数,可以通过session或者ip来做限制
  • 定期监测,检查日志,侦查异常的接口访问

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
最新优化收藏到网摘代码(digg,diigo)
Feb 07 Javascript
用javascript将数据库中的TEXT类型数据动态赋值到TEXTAREA中
Apr 20 Javascript
jquery 读取页面load get post ajax 四种方式代码写法
Apr 02 Javascript
jquery formValidator插件ajax验证 内容不做任何修改再离开提示错误的bug解决方法
Jan 04 Javascript
基于jquery实现全屏滚动效果
Nov 26 Javascript
jQuery手风琴的简单制作
May 12 jQuery
Vue官方文档梳理之全局配置
Nov 22 Javascript
vue使用rem实现 移动端屏幕适配
Sep 26 Javascript
JavaScript错误处理操作实例详解
Jan 04 Javascript
微信小程序getLocation 需要在app.json中声明permission字段
Mar 03 Javascript
JavaScript实现随机点名程序
Mar 25 Javascript
JS数据类型分类及常用判断方法
Nov 19 Javascript
jquery实现垂直无限轮播的方法分析
Jul 16 #jQuery
JavaScript解析JSON数据示例
Jul 16 #Javascript
微信小程序 Storage更新详解
Jul 16 #Javascript
微信小程序实现张图片合成为一张并下载
Jul 16 #Javascript
JQuery实现简单的复选框树形结构图示例【附源码下载】
Jul 16 #jQuery
JS实现的排列组合算法示例
Jul 16 #Javascript
使用Phantomjs和Node完成网页的截屏快照的方法
Jul 16 #Javascript
You might like
Yii2验证器(Validator)用法分析
2016/07/23 PHP
为你的 Laravel 验证器加上多验证场景的实现
2020/04/07 PHP
javascript 一个函数对同一元素的多个事件响应
2009/07/25 Javascript
silverlight线程与基于事件驱动javascript引擎(实现轨迹回放功能)
2011/08/09 Javascript
从数据结构分析看:用for each...in 比 for...in 要快些
2013/04/17 Javascript
jquery 实现窗口的最大化不论什么情况
2013/09/03 Javascript
详解JavaScript语言的基本语法要求
2015/11/20 Javascript
全面解析Bootstrap表单使用方法(表单样式)
2015/11/24 Javascript
使用jQuery判断浏览器滚动条位置的方法
2016/05/30 Javascript
js 弹出对话框(遮罩)透明,可拖动的简单实例
2016/07/11 Javascript
AngularJs  Understanding Angular Templates
2016/09/02 Javascript
详解jQuery插件开发方式
2016/11/22 Javascript
javascript 数据存储的常用函数总结
2017/06/01 Javascript
AngularJS基于provider实现全局变量的读取和赋值方法
2017/06/28 Javascript
详解如何使用webpack+es6开发angular1.x
2017/08/16 Javascript
vue 实现click同时传入事件对象和自定义参数
2021/01/29 Vue.js
Python对小数进行除法运算的正确方法示例
2014/08/25 Python
详解Python中break语句的用法
2015/05/14 Python
给Python入门者的一些编程建议
2015/06/15 Python
Python常见异常分类与处理方法
2017/06/04 Python
Python编程实现及时获取新邮件的方法示例
2017/08/10 Python
python 读取txt,json和hdf5文件的实例
2018/06/05 Python
Python面向对象之继承和组合用法实例分析
2018/08/27 Python
python队列Queue的详解
2019/05/10 Python
解决Jupyter NoteBook输出的图表太小看不清问题
2020/04/16 Python
Python可视化工具如何实现动态图表
2020/10/23 Python
灵活运用CSS3特性绘制简易版围棋效果
2016/09/28 HTML / CSS
AmazeUI框架搭建的方法步骤(图文)
2020/08/17 HTML / CSS
什么是属性访问器
2015/10/26 面试题
自我鉴定思想方面
2013/10/07 职场文书
机械电子工程专业推荐信范文
2013/11/20 职场文书
幼儿园家长会邀请函
2014/01/15 职场文书
医学生就业推荐表自我鉴定
2014/03/26 职场文书
2014幼儿园教师师德师风演讲稿
2014/09/10 职场文书
群众路线教育实践活动学习心得体会
2014/10/30 职场文书
英语导游词
2015/02/13 职场文书