如何区分HttpRequest来自微信小程序还是浏览器?

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量1.9k 收藏 1
点赞数 1
文章标签: java 后端 前端 ViewUI
原文链接:http://www.cnblogs.com/qoix/p/9649276.html
版权

当后端接收到一个request的时候,如何区分是来自于微信小程序还是浏览器的请求?

首先,微信小程序的请求并没有明确的标记位来验证请求来源。

一、网上的一些说法:
1、Header中的content-type
微信小程序的content-type默认“application/json”,POST请求一般自己定义为 “application/x-www-form-urlencoded”。如果是PC浏览器直接请求URL,content-type确实是null的,很多网友觉得可以使用这个区分。但是一旦我们在浏览器中通过Ajax请求,content-type就不是null了,就没办法区分是小程序的还是Ajax脚本的。

2、Header中的User-Agent
User-Agent可以区分终端类型。
如果是微信中请求,agent中有 MicroMessenger 字符串,其他则没有!在一定程度上可以解决来源,但是不能解决根本问题。因为,可以直接复制url,在微信聊天中打开!

3、sessionid
因为微信小程序(包括公众号)的request请求都是无状态的,也就是说session是无效的。(我们可以在后台打印一下sessionid,就会发现每次request的sessionid都是不一样的,所以session是无状态的。)

所以,有的同学就模拟一个session:后端保存sessionid到内存或缓存,然后每次请求都带上sessionid,比如用url?JSESSION=sessionid,或者在Header中添加Cookie的形式,以此来判断和校验用户是否登录或是否来自于小程序。

但是如果我们是Fiddle之类的工具抓取请求,就会获得请求的参数sessionid,同样的可以通过Ajax脚本来模拟(sessionid)请求服务器端。所以也是不安全的。

二、我的做法:
首先用User-Agent来做基本筛选!
然后:
1、在登录的时候,一定要用wx.login获取code,然后服务器端通过code获取sessionkey和openid来实现登录。sessionkey的有时效(timeout)的,类似于session有效时间。

2、获取sessionid,并将sessionkey、openid和sessionid的关系,存储到服务器内存或缓存中。这个关系开发者可以自己定义,一般我用map。

3、前端重新封装wx.request,将sessionid保存到globalData中,globalData有失效时间,这样sessionid的有效时间和sessionkey就一致了。所以,每次请求要带上sessionid,后台校验sessionid 和 sessionkey的关系。

4、只有sessionid并不能解决csrf攻击(前面有说明)。还需要使用一个csrf-token,就是每次请求都会产生一个csrf-token返回给前端,前端下次请求的时候带上csrf-token,后端校验。 这里有一个问题,如果抓到response中的内容,就可以拿response中的csrf-token进行模拟访问了,所以我们需要对csrf-token处理一下

5、csrf-token处理:可以用加密的方式,只要保证后端同样的加密或解密能够将token匹配即可。也可以简单的通过移位、或者添加字符串等方式。总之这个方式只有开发者知道,前后端怎么处理token来校验有效性!

6、为了保证绝对的安全,在一些关键业务的处理上,最好用wx.login产生code,后端根据code调用微信服务器接口进行校验后再处理!

三、更好的方式?
这只是我个人的思路,如果你有更好的处理思路,可以留言,一起交流!
谢谢!



转载于:https://www.cnblogs.com/qoix/p/9649276.html

weixin_30322405
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java中使用HttpRequest获取用户真实IP地址
10-24
主要介绍了Java中使用HttpRequest获取用户真实IP地址,使用本文方法可以避免Apache、Squid、nginx等反向代理软件导致的非真实IP地址,需要的朋友可以参考下
java通过传入HttpServletRequest判断 来源是否是 Pc / Mobile / Ipad
起而行动,方能平定心中的惶恐
05-11 5206
> import javax.servlet.http.HttpServletRequest; > > import com.yjf.common.util.StringUtils; > > /** * 判断请求是否从移动终端发出得工具类 * * @author zhangzihao * */ public > class HttpRequestDeviceUtils { /
php判断微信浏览器跳转页面跳转,判断当前网页是否在微信浏览器中打开
weixin_39940425的博客
03-10 529
这几天一直在与微信内置的浏览器打交道,也总结出一些如何判断当前浏览器环境是否为微信浏览器的小经验(其实代码网上一搜一大把),今天记录一下。判断网页是否在微信浏览器中打,一般都是通过请求头信息中的HTTP_USER_AGENT来判断,如果是来自微信浏览器请求请求头信息中就会包含‘MicroMessenger’字段,当然也有微信当前的版本号。以下是来自微信浏览器的 userAgent 信息//An...
HttpRequest插件的firefox浏览器
05-05
HttpRequest插件的firefox浏览器。现在的新版firefox没有了HttpRequest这个测试RESTful或HTTP的好用、方便插件。现将HttpRequest插件和支持该插件的Firefox打成一个包,供有需要的人使用。该Firefox为英文版。
HttpRequest
02-26
有时项目中需要进行post请求或者get请求的测试,这个类包含了这两种测试
判断请求浏览器发出还是小程序发出
restart1025的博客
01-21 8593
1、获取请求的requestHttpServletRequest request=ServletActionContext.getRequest();2、拦截器中判断请求头通常判断来自手机端的请求还是PC端的请求只需要判断:request.getHeader( "content-type" ) == null && (request.getheader("user-agent").tolowerca
如何判断一个HTTP请求浏览器请求还是应用程序请求
热门推荐
来啦,老弟~
10-11 2万+
1、获取请求的request HttpServletRequest request=ServletActionContext.getRequest(); 2、拦截器中判断请求头 通常判断来自手机端的请求还是PC端的请求只需要判断: request.getHeader( "content-type" ) == nu
通过userAgent来识别请求来自于微信H5还是微信小程序
我就叫贝塔
09-08 4023
如何识别http请求是否来自微信客户端 在http数据包的header结构中解析“User-Agent”即可,判断是否包含关键字“micromessenger”(这里请注意不要拦截其他微信http请求,所以关键词请匹配好), 示例代码如下: user_agent = request.META.get('HTTP_USER_AGENT', "") logger.info("request user agent: {}".format(user_agent))
java request判断是否是微信客户端访问
陈德优的博客
03-28 6457
微信客户端访问时候user-agent信息如下:Mozilla/5.0 (Linux; Android 5.0.1; M040 Build/LRX22C) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/37.0.0.0 Mobile MQQBrowser/6.8 TBS/036872 Safari/537.36 MicroMes...
判断请求为移动端还是web端
闵浮龙的博客
12-29 2696
判断请求为移动端还是web端package com.egeo.utils;import javax.servlet.http.HttpServletRequest;import org.springframework.util.StringUtils;public class MobileDevice { public static boolean isMobileDevice(HttpSe
php实现httpRequest的方法
10-24
主要介绍了php实现httpRequest的方法,涉及php操作http的技巧,具有一定参考借鉴价值,需要的朋友可以参考下
Django的HttpRequest和HttpResponse对象详解
09-20
主要介绍了Django的HttpRequest和HttpResponse对象,分享了相关代码示例,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
简单实用利用js判断页面是否是在微信浏览器打开
weixin_41529228的博客
11-21 868
在开发项目中,我们经常需要判断页面是否是在微信浏览器打开 navigator 对象包含有关浏览器的信息 方法一 两种判断采用的方法是一样 只是写法不一样 var is_weixin = (function(){return navigator.userAgent.toLowerCase().indexOf('micromessenger') !== -1})(); function...
判断浏览器是否用微信访问
孤独的梦1012
11-22 400
判断浏览器是否用微信访问 实现原理: 通过判断 User Agent 中是否有 MicroMessenger 关键字,有为微信内置浏览器,无则不是。 判断是否为微信内置浏览器,首先需要获取浏览器的User Agent,在 iPhone 上的微信浏览器检测,它的 User Agent 是:Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_3 like Mac OS X)
JavaScript:判断链接是否从微信或QQ中打开
Iversons.Tian的博客
05-06 1053
是否微信中打开: let is_weixin = (function () { let ua = navigator.userAgent.toLowerCase(); if (ua.match(/MicroMessenger/i) == 'micromessenger') { return true; } else { return false; } })(); 是否QQ中打开: let is_qq = (function () {
介绍一下主流的浏览器的开发者工具(js调试和查看网络请求
pythonxxoo的博客
01-16 1556
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 1、打开开发者工具:右键–>检查 (快捷键 f12) 2、开发者工具介绍: (1): 选择页面的dom进行查看 (2):设备适配 (3)元素: ① 可以查找到界面对应的dom; ② 通过计算样式,查看盒模型; ③ 在元素上选择右键,还可以:[当我们看到某个网站的css样
微信公众平台消息接口开发之微信浏览器HTTP_USER_AGENT判断
洋葱onion
07-16 879
微信公众平台的开发过程中,我们有时需要开发网页并判断是否是是来自微信浏览器访问,本文介绍如何做出这一判断。 一、$_SERVER数组$_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。不能保证每个服务器都提供全部项目;服务器可能会忽略一些。二、获取HTTP_USER_A
H5页面中判断微信小程序微信浏览器环境
qq_36579455的博客
09-09 3264
方法一: 首先通过ua判断微信环境,然后使用getEnv判断是否为小程序(res.miniProgram为true)还是微信浏览器(res.miniProgram为false) wx.miniProgram.getEnv(res => res.miniProgram && ‘小程序环境’) 方法二: 嵌套在webview中,可以使用self !== top来判断是否为小程序 方法三: 当然前两种还是有缺陷,可以使用在h5链接上添加小程序的唯一标识(参数) 比如 previewer =
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 290
都是符合我们的预期的。
Java 实现微信小程序登录示例代码
04-12
哦,这是一个技术类问题,我可以直接回答。以下是 Java 实现微信小程序登录的示例代码: 1. 获取微信用户信息: ```java String code = "用户登录时获取的临时凭证code"; String appId = "微信小程序的 appId"; String secret = "微信小程序的 secret"; String grantType = "authorization_code"; String url = "https://api.weixin.qq.com/sns/jscode2session?" + "appid=" + appId + "&secret=" + secret + "&js_code=" + code + "&grant_type=" + grantType; String response = HttpRequest.get(url).enter code here // 解析响应 JSONObject jsonObject = JSON.parseObject(response); String openid = jsonObject.getString("openid"); String sessionKey = jsonObject.getString("session_key"); ``` 2. 解密用户数据: ```java String encryptedData = "用户信息加密数据"; String iv = "与用户数据一起返回的初始向量"; AES aes = new AES(); String userInfo = aes.decrypt(encryptedData, sessionKey, iv); // 解析结果 JSONObject jsonObject = JSON.parseObject(userInfo); String nickName = jsonObject.getString("nickName"); String avatarUrl = jsonObject.getString("avatarUrl"); ``` 以上是示例代码,仅供参考,实际使用中需要结合具体业务需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值