小程序
小游戏
企业微信
微信支付
扫描小程序码分享
我们项目中使用wx.login方法拿code换取用户信息,被安全团队质疑这种前端拿code方式有安全性问题,请问微信团队能不能解释下wx.login的原理及安全性的保障
4 个回答
加粗
标红
插入代码
插入链接
插入图片
上传视频
微信小程序用户认证实际采用 OAuth 2.0 ,可参考 RFC 6749 (https://datatracker.ietf.org/doc/html/rfc6749) ,是第三方认证的标准。
可以看出贵司安全团队对业界标准并不熟悉。
你好,麻烦通过点击下方“反馈信息”按钮,提供出现问题的。
你把wx.login的文档发给他们不就完事了?
https://developers.weixin.qq.com/miniprogram/dev/api/open-api/login/wx.login.html
任何一个后台人,看到这个都不会吱一句话的。
你的问题明显是前后端互相误读造成的。
安全员是担心code被篡改?你可以把这个登录校验机制链接发给安全团队:https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/signature.html
?没理解 不就是换取 openid 吗 哪里来的用户信息? code 要服务端拿
关注后,可在微信内接收相应的重要提醒。
请使用微信扫描二维码关注 “微信开放社区” 公众号
微信小程序用户认证实际采用 OAuth 2.0 ,可参考 RFC 6749 (https://datatracker.ietf.org/doc/html/rfc6749) ,是第三方认证的标准。
可以看出贵司安全团队对业界标准并不熟悉。
你把wx.login的文档发给他们不就完事了?
https://developers.weixin.qq.com/miniprogram/dev/api/open-api/login/wx.login.html
任何一个后台人,看到这个都不会吱一句话的。
你的问题明显是前后端互相误读造成的。
安全员是担心code被篡改?你可以把这个登录校验机制链接发给安全团队:https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/signature.html
?没理解 不就是换取 openid 吗 哪里来的用户信息? code 要服务端拿
用code到微信换信息的过程,不仅仅用一个code就行。还需要秘钥。攻击者如果连你们的秘钥都知道了就没办法了。