关于微信登录的公众号sercret不能在前端代码暴露的解决方案?

最新推荐文章于 2024-04-29 15:43:10 发布
最新推荐文章于 2024-04-29 15:43:10 发布
阅读量848 收藏
点赞数 1
分类专栏: 小程序学习 文章标签: 微信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59588838/article/details/126128513
版权

今天我们接入微信登录的方式在上一篇文章中有讲到,但是在提交小程序审核时出现莫名其妙的明文密钥暴露问题,所以给出以下解决方案:

1、为什么不能暴露明文密钥:

你会发现不管你调用的是wx登录,或是wx支付,zfb登录或者支付,这些第三方平台都为你的信息安全与主体安全给出了充分的安全考虑,就连我在进行网站HTTPS加密证书申请的时候也会让我设置一个密钥,他们再结合固定的加密算法将你的信息保护的很完美,但是如果你将你的密钥明文暴露到前端的小程序代码中,就会给黑客可趁之机

2、将凭借code换取openId的请求放在后端开发的服务器上进行,这样一来你的密钥数据就会单独的存放在你的数据库中,避免密钥的明文暴露。

3、凭借相同的请求方式,但是获取secret的方式改为从开发服务器中获取,这样的话也会避免明文暴露,但是在请求的过程中如果你的请求不是HTTPS加密类型的协议,就很容易让黑客在应用层进行盗窃。

下面是我针对第三种方案写的代码:

const app = getApp();

Page({

  data: {

    AppId:"你的公众号APPID",

    AppSecret:"",

    Id: "",

    password:"",

    msg:'',

    sign: 0,

    js_code:"",

    userInfo:"",

    jpg1:'../../static/images/zixishi1.jpg',

    jpg2:'../../static/images/zixishi2.jpg',

    jpg3:'../../static/images/zixishi3.jpg',

    fromInfo:[{date:"2022-7-15",info:"您已在监控区域,不要随地吐痰!禁止喧哗。谢谢配合!"}]

  },

  // 用户点击微信登录

  wxlogin(){

    var th = this;

    // 后台获取AppSecret

    wx.request({

      url: 'http://49.235.69.4:8080/findSecret',

      method:"GET",

      header:{

        'content-type': 'application/json'

      },

      data:{

        AppId: th.data.AppId

      },

      dataType:"json",

      success(res){

        console.log(res.data.data);

        if(res.data.code == 1){

             th.setData({

               AppSecret: res.data.data

             })

        }

      }

    })

    // 授权获取当前用户信息

    wx.getUserProfile({

      desc: '用于登录校验',

      success(res){

        //  接收这个响应信息里的用户信息

         var userInfo = res.userInfo;

         th.setData({

           userInfo: userInfo,

         })

      }

    })

    // 调用login接口获取临时交换凭证code

      wx.login({

        success: function(res){

          // 将获取的临时凭证存放起来

          th.setData({

            js_code: res.code

          });

        }

      });

      // 设置延时是先进行授权结束后再回调这个微信登录的openId换取函数

        setTimeout(function(){

        let code = th.data.js_code;

        let appid = th.data.AppId;

        let appsecret = th.data.AppSecret; 

        wx.request({

          // 注意反引号

          url: `https://api.weixin.qq.com/sns/jscode2session?appid=${appid}&secret=${appsecret}&js_code=${code}&grant_type=authorization_code`,

          success(res){

            console.log(res);

            // 将获取的两个关键信息存储

            th.setData({

              Id: res.data.openid,

            })

             // 访问数据后台服务器入库

            setTimeout(function(){

              wx.request({

                url: 'http://49.235.69.4:8080/wxLogin',

                method:"GET",

                header:{

                  'content-type': 'application/json'

                },

                data:{

                    openid: th.data.Id,

                    nickName: th.data.userInfo.nickName

                },

                dataType:"json",

                success(res){

                    app.globalData.userId = th.data.Id;

                    app.globalData.userInfo = th.data.userInfo;

                    if(res.data.code == 1){

                      wx.showToast({

                        title: '微信登录成功',

                      })

                      setTimeout(function(){

                        wx.switchTab({

                          url: '/pages/Frame/frame',

                        })

                      },100)

                    }

                }

              })

            },1000);

          }

        })

      },2000);

  },

  onLoad: function (options) {

    var th =this;

    // 公告加载发送get请求

    wx.request({

      url: 'http://49.235.69.4:8080/findAllFromInfo',

      method:"GET",

      header:{

        'content-type': 'application/json'

      },

      success(res){

        // 获取响应对象中封装的公告集合对象

        if(res.data.code == 1){

          th.setData({

            fromInfo: res.data.fromInfoList 

          })

        }else{

          this.setData({

           fromInfo: [{date:"",info:"暂无公告!"}]

          })

        }

      }

    })

  }

}

ForestSpringH
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
微信公众号配置 Token 认证以及消息推送功能
vnjohn 博主 > 主线分享后端领域业务设计知识、源码思想、架构设计
02-19 1万+
介绍在使用公众号开发功能时,涉及到的菜单、消息回复、推送等功能时,前面需要的一些准备工作,以及如何配置后端服务进行交互,同时提供了 Token 认证配置、网页授权、模版消息推送功能相关的源码给到大家
ios版新浪微博客户端源代码
03-29
ios版本新浪微博客户端源代码 client_ID = (你申请应用的appkey) client_SERCRET =(你申请应用的app_secret) redirect_URI =(回调地址,跟网上配置的一致,本人比较穷,而且用的是客户端,所以这里就为空) ...
微信小程序在哪里看自己的appId 和 Secret 如何查看
热门推荐
阿宁的博客
02-21 3万+
appId 和 Secret 如何获取? 微信公众平台 - 传送门 1. 进入网页后, 右上角扫码登录 2. 在左侧栏找到 </>开发 3. 依次点击 -> 开发管理 -> (在中间横向导航框) 点开发设置 -> 4. 看到了开发者ID 下方有 AppID(小程序ID) ********************** 5. APPID下面有 AppSecret(小程序密钥) 但是内容为空,需要在最右方点击 重置 (出于安全考虑,AppSecret
微信公众号网页静默授权/非静默授权(uniapp版)
weixin_41891519的博客
03-19 7743
一、问题 为什么要进行网页授权? 首先我们进行网页授权的需求是,获取用户信息、最主要是获取openid唯一值,可以用于用户登录、支付等功能,这时候就需要进行网页授权获取用户的信息以及openid。 二、静默授权/非静默授权 在操作之前可以先提前看看网页授权官方文档 静默授权 snsapi_base (不弹出授权页面,直接跳转,只能获取用户openid; 用来获取进入页面的用户的openid的,并且自动跳转到回调页的。用户感知的就是直接进入了回调页(往往是业务页面)。 非静默授权 snsapi_user
微信公众号接入
qq_28331477的博客
05-22 649
公众号开发者文档参考链接: http://mp.weixin.qq.com/wiki/8/f9a0b8382e0b77d87b3bcc1ce6fbc104.html 公众号注册 微信公众号分三种: 服务号,订阅号,企业号   三者区别参考:公众号开发文档中的开始前必读-->公众号类型的接口权限说明 认真阅读,公众号文档的开始前必读需要关注的点有:  1. 公众号类型接口权限
微信公众号如何设置开发者密码(APPSecret)?
Matcha
09-23 1万+
1.电脑端登录微信公众号,在左侧的导航栏找到</>开发里的“基本配置”,点击进入 2.基本配置页面如下 3.点击开发者密码(APPSecret)启用按钮 4.有弹窗提示用管理员的微信号扫码后才能操作 5.手机端管理员微信扫码,显示如下 6.点击进入后需要核对公众号名称,输入密码以及验证码,点击下一步 7.系统会自动生成一串APPSecret码,这就是...
前端密钥怎么存储,才最安全?
yuanchengfu0910的博客
05-29 9543
对于部署到服务器的应用,您可以使用服务器的环境变量配置功能,如 Linux 系统的 export 命令或 Windows 系统的系统属性配置。如果您使用的是一些现代的前端框架或库,它们可能提供了更便捷的配置文件加载和解析的方法,例如使用 axios、fetch 或特定的配置加载插件。在前端应用中使用环境变量:在您的前端应用代码中,通过访问环境变量来获取密钥的值。解密密钥:在需要使用密钥的时候,通过解密算法对加密的密钥进行解密,获取原始的密钥值。配置密钥:在配置文件中添加密钥的配置项,并为其指定相应的值。
公众号】如何将公众号给他人开发
cottonknight的博客
06-15 716
本篇博客将会介绍将公众号给予他人开发的流程.开发公众号首先需要提供给对方 公众号appid,公众号app_secret以及公众号原始id,
微信公众号接入开发
hwt1070359898的博客
11-03 1651
目录 前言: 一、公众号中配置 1、获取AppID、AppSecret: 2、配置IP白名单: 问题: 解决: 3、配置JS接口安全域名: 重要:认真阅读系统提示的注意事项: ​ 问题: 解决: 二、前端页面开发: 三、后端服务开发: * 流程: 代码: (1)主要代码: (2)相关代码: 校验工具: 1、appId、secret校验及生成access_token工具:微信公众平台接口调试工具 2、 微信 JS 接口签名校验工具:微信 JS 接口签名校验工具 ..
前端安全问题
yanner_的博客
08-05 1175
1.不安全的第三方依赖包 现如今进行应用开发,就好比站在巨人的肩膀上写代码。据统计,一个应用有将近80%的代码其实是来自于第三方组件、依赖的类库等,而应用自身的代码其实只占了20%左右。无论是后端服务器应用还是前端应用开发,绝大多数时候我们都是在借助开发框架和各种类库进行快速开发。 这样做的好处显而易见,但是与此同时安全风险也在不断累积——应用使用了如此多的第三方代码,不论应用自己的代码的安全...
HTTPS是如何保证安全的?
接着奏乐接着舞的博客
10-24 2836
目录 1.前言: 2.加密算法分类 3.什么是对称加密? 4.什么是⾮对称加密? 5.HTTPS 加密解决⽅案 6.数字证书 7.数字签名 8.总结: 1.前言: HTTPS 在传输数据的过程中会对数据进行加密处理,保证安全性。 那HTTPS采用的什么样的加密方式呢?我们来了解下一些加密的基本概念。 2.加密算法分类 目前常见的加密算法可以分成三类,对称加密算法,非对称加密算法 和 Hash算法。 对称加密算法: 相同密钥加密解密, 可逆的! 可以用于加密解密传..
NodeJS 实现手机短信验证模块阿里大于功能
01-01
1,NodeJS 安装阿里大于模块 切换到项目目录使用npm 安装阿里于模块 npm i node-alidayu --save ...登录阿里大于 ... ...3配置管理===》验证码====>里添加短信...后台代码 var AliDayu = require('node-alidayu'); var client =
新浪应用开发:使用新浪微博API发一条微博
09-14
第 四步:按照说明配置:在Config.properties里 client_ID :appkey 创建应用获取到的appkey client_SERCRET :app_secret 创建应用获取到的appsecret redirect_URI : 回调地址 OAuth2的回调地址 第五步:运行遇错...
SinaCrawler:微博API、Mongodb
07-04
SinaCrawlerAlexYoungBeijing University of Posts and Telecommunications10 XiTuCheng Road, Haidian DistrictBeijing, CHINA(100876)Weibo API, Mongodb相关配置请先填写相关配置:在Config.properties里client...
java swing 模拟新浪微博
07-25
简单的java swing 编写的新浪微博用户登陆客户端。 在本地运行时,需要自己修改config.properties中client_ID和client_SERCRET属性的值。这两个值需要自己通过注册得到。
webox微信群发器多少钱?电脑微信群发软件哪个好用?微信群发助手一次能发多少人?最强稳定群发器来袭
2301_78671609的博客
04-29 961
今天给大家推荐一款我们目前在使用的电脑群发工具WeBox,不仅可以无限多开,方便你同时管理多个账号,群发功能更是十分强大,轻松释放你的双手。支持发送文本、图片、表情、文件、链接、名片、群、链接、视频等.加入定时群发和时间间隔,更安全.当然除了这些功能,软件本身还有很多功能可以使用,这里只简单介绍了群发,WeBox还是非常好用的的,总有功能适合你。下载WeBox打开登录,这是账号登录进去后的界面,可以看到非常多的功能,我们主要使用群发。最后是发送对象,选择好友,勾选你要发送的好友即可,轻松突破200人。
infrared-remote-candroid studiodemo
最新发布
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
【Exception—WebForm】当应用程序不是以 UserInteractive 模式运行时显示模式对话框或窗体是无效操作。请指定 ServiceNotification 或 DefaultDe...
06-01
这个异常通常是在 Windows 服务中使用了 UI 窗体或对话框导致的。因为服务在运行时没有用户交互,所以无法显示 UI 窗体或对话框。 解决该异常的方法之一是使用 ServiceNotification 或 DefaultDesktopOnly 显示模式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ForestSpringH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值