1. 小程序客户端被反编译事件描述:
今日与某同行A交流时,A说自己的小程序F被反编译,然后假F小程序正在白嫖自己的服务器资源。小程序客户端+服务器都在被白嫖,投诉官方仍不能及时解决。
2. 接口安全:
不管小程序用户登录不登录,都可以获取到用户的openid,可以用此条原则,用于验证是不是自己的小程序客户端在请求你的接口。
具体办法如下:
用户刚进来-->获取用户openid并生成所有接口的token(接口一次性生成openid和公用token)-->其他接口发生请求时,同时验证openid与token是否匹配、过期等
以上就是为了验证是否是自己的小程序在请求接口。
3. 微信客户端安全:
将微信最低兼容的小程序版本设置成最近一年的微信版本。这是将小程序安全寄托于微信官方客户端的安全。
4. 数据安全(反爬):
限制IP和接口的请求频次,超过次数立即拉黑。
5. 登录安全与数据来源调查:
核心数据需要登录的,一定要用户手机号登录。即,openid验证是不是自己的小程序在请求接口(openid不做用户登录),手机号登录为了跨平台和数据来源调查。
-