我们项目中使用wx.login方法拿code换取用户信息,被安全团队质疑这种前端拿code方式有安全性问题,请问微信团队能不能解释下wx.login的原理及安全性的保障
相关问题
相关文档
- wx.login mock: Mini Program/Development/Extended/Operating Guide/About Developer Tools/wx.login mock
- Mini Program login (wx.login) Introductions: Mini Program/Development/Extended/API/To be adapted API summary/wx.login Introductions
- wx.login mock Conditions for success: Mini Program/Development/Extended/Operating Guide/About Developer Tools/wx.login mock
- wx.login mock Effective priority: Mini Program/Development/Extended/Operating Guide/About Developer Tools/wx.login mock
- 兼容性问题: 小程序/开发/云托管/参考信息/兼容性问题
微信小程序用户认证实际采用 OAuth 2.0 ,可参考 RFC 6749 (https://datatracker.ietf.org/doc/html/rfc6749) ,是第三方认证的标准。
可以看出贵司安全团队对业界标准并不熟悉。
你把wx.login的文档发给他们不就完事了?
https://developers.weixin.qq.com/miniprogram/dev/api/open-api/login/wx.login.html
任何一个后台人,看到这个都不会吱一句话的。
你的问题明显是前后端互相误读造成的。
?没理解 不就是换取 openid 吗 哪里来的用户信息? code 要服务端拿