服务器后端与客户端交互数据的安全问题，以微信小程序开发过程为例。

最新推荐文章于 2023-12-28 14:47:11 发布

李祈愿

最新推荐文章于 2023-12-28 14:47:11 发布

阅读量600

点赞数 2

分类专栏：学习笔记文章标签：安全小程序服务器密码学微信小程序

本文链接：https://blog.csdn.net/qq_36228801/article/details/132380906

版权

学习笔记专栏收录该内容

12 篇文章 0 订阅

订阅专栏

本篇文章专业性并不高，个人水平有限，如果存在问题烦请斧正，欢迎交流讨论。

文章并不深入，只是讲应该从哪些角度去增强小程序客户端与服务器后端交互数据的安全性。

世界上没有绝对安全的系统，但是我们可以尽量让破解变得困难。

一、防反编译——代码混淆

反编译小程序的成本很低，不懂的外行利用工具甚至都能实现，并且反编译出来的代码可读性也很强，稍微改改就能重新发布。如果小程序被人反编译并且发布上线，维护自己权益很消耗时间和精力成本。所以在小程序发布上线之前我们要重视防反编译，尽量对代码进行混淆保护，让反编译后的代码可读性变差。本身利用第三方框架开发的小程序在编译后就会有代码的一定混淆，开发的如果是原生小程序就没有。

微信官方提供了一个代码加固组件，使用方法简单且便捷，可以对JavaScript实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施。

另外也可以使用例如javascript-obfuscator等等对js进行加密混淆的工具。不过小程序类似于web，在安全性上就像H5，所以想要单单从小程序端解决反编译是不可能的，应该综合使用其他更多的方法尽量保证安全。

二、将核心内容写进小程序提供的云开发

在程序开发过程中我们经常因为要使用到加密算法所以需要保存一些密钥到小程序端，例如使用AES对称加密我们就要保存密钥到小程序，从而实现加密和解密。但是前面已经提到了小程序安全性较差，很容易被反编译，被反编译后密钥是可以被直接看到的非常影响安全。

所以我们可以利用小程序提供的云开发服务，云开发服务当中有云数据库、云函数可以用，把我们的密钥或者是加密算法的核心代码都放到云数据库、云函数里面，在云开发里面的数据是不会被反编译看到的，并且本身云开发对权限的管理就很不错，安全性很高。

并且云开发的成本对于很多体量不大的个人小程序开发者来说并不算高，是可以接受的。

三、接口头文件验证

小程序向后端服务器发送的请求来源有格式固定的referer信息，其固定格式为：

https://servicewechat.com/{appid}/{version}/page-frame.html

我们后端服务器在接收到请求时可以先对Referer当中的openid进行校验，如果是来自小程序的请求则放行，否则就拒绝，这也能给居心叵测的人带来些困扰。下面是php校验referer中小程序openiddd例子。

$headers = []; //定义header空数组
foreach ($_SERVER as $name => $value) {
    if (substr($name, 0, 5) == 'HTTP_') {
        $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
    }
} //循环数据

$refer_openid = substr($headers['Referer'],26,18); //取出referer当中的openid

if($refer_openid == "此处填写小程序openid"){
    //放行，继续执行业务逻辑代码
}else{
    exit;
    //校验失败
}

四、对数据进行防重放、防篡改攻击

为了尽量保证到服务器的请求是真实用户请求，我们需要对请求进行防重放和防篡改处理。

什么是重放攻击？

重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通信过程中都可能发生，是计算机世界黑客常用的攻击方式之一。

在开始之前我们先了解一下时间戳（Timestamp）这个概念

时间戳是从1970年1月1日开始所经过的秒数，不考虑闰秒。它是计算机科学中常见的术语，是指一种记录时间的方式，通常用于记录某个事件的发生时间或者文件的创建、修改时间等信息。简单的说，时间戳就是一串数字，表示某个时间。

例如1692434197，表示的就是北京时间2023-08-19 16:36:37

1692434198，表示的就是北京时间2023-08-19 16:36:38

那么我们可以在post或get请求中加入时间戳这个参数，在后端接收到数据后用当前时间戳减去请求中的时间戳，当两者相差不大时才算是正常的请求（一般从客户端到服务器不会超过3秒钟吧）。例如我们的post参数：

username=123456&coin=50&type=1

加入时间戳之后的参数就变成了

username=123456&coin=50&type=1&timestamp=1692434198

那么问题就来了，如果黑客手动篡改时间戳然后再发送请求呢？是不是就能够逃过我们这个判断了。所以我们需要对数据进行防篡改处理。

我们取这些参数的md5值作为签名（sign），并把md5也作为参数放到请求当中，后端收到请求后再次取md5进行对比，如果一样那么就放行。如下：

username=123456&coin=50&type=1&timestamp=1692434198&sign=e4d64c5f5cd6377ccb51580ce7f60a57

但这样的话黑客有可能会修改参数并且连带着把md5签名一块修改了，所以我们需要向参数中新增一个密钥key，这个密钥加入到参数中，并且参与md5取值，后端也保存这个密钥从而进行md5对比。请注意，因为这个key小程序和后端都要用到那么肯定都要保存，但小程序一但被反编译就有可能泄露，所以应当把小程序端的key放在前面我们所说的云开发里面。这个key也可以跟随用户的登录态进行动态下发，更安全。带上key拼接的字符串如下：

username=123456&coin=50&type=1&timestamp=1692434198&key=5s4d88D4SG81asd

对这个拼接后的字符串进行md5取值，然后带上md5结果作为sign就行了（不要把key也当做参数传递）

到此为止，我们就实现了客户端和服务器数据交互的防篡改。

我们应该如何实现防重放呢？相同的请求，我重新再发送一次，时间戳符合要求，也没有篡改，这该怎么办？

我们需要引入一个值nonce，nonce是Number once的缩写，意思是只被使用一次的任意或非重复的随机数值。在小程序向后端发送请求的时候，我们随机生成一个不重复的（或者短时间内不会重复）的数值或字符串，如果担心重复可以规则复杂一些，长度长一些。生成后把这个nonce当做参数一块传递到服务器后端，如下：

username=123456&coin=50&type=1&timestamp=1692434198&nonce=54sg4sd48&sign=e4d64c5f5cd6377ccb51580ce7f60a57

我们把nonce插入到redis数据库中，设置他的过期时间（过期后redis会自动删除这个数据），例如把过期时间设置为60秒。这样当有新的请求时，我们判断请求携带的nonce是否在redis数据库中，如果已经存在那么就拦截，因为这个请求已经处理过了。60秒过后这个数据会被redis自动删除，哪怕再有攻击，但我们前面加上的时间戳的限制就会把请求拦截。

到此我们实现了防重放攻击。

php操作redis也很简单，我下面放个例子：

$redis = new Redis();//建立对象
$redis->connect('127.0.0.1', 6379);//连接本地的 Redis 服务

$redis->set("123", "456",60);
//插入一个键是123，值为456的记录，过期时间是60秒

$redis->get("123");
//读取键123的值，结果是456

简单插入读取，更多详细内容请自行学习Redis。

另外应该再对我们传递的数据进行非对称或对称加密，会更安全，这方面因为还没有实际写先不说了。