小程序
小游戏
企业微信
微信支付
扫描小程序码分享
开发了一个小程序, 基于团队进行管理的, 但从上周五开始, 发现微信小程序这边的测试人员(昵称是水浒传角色且用户加入时间是第一次提交正式版审核期间)不断使用不正常手段加入我们的团队, 踢出团队后第二天又加入我们的团队, 想问一下大家有没类似的情况, 也求腾讯小程序官方给个合理解释!!!
13 个回答
加粗
标红
插入代码
插入链接
插入图片
上传视频
进来抽查的,看看你的小程序有没有违规
你好,麻烦通过点击下方“反馈信息”按钮,提供出现问题的。
那我团队数据不就被泄露了吗, 这不属于侵权吗
如果我团队有商业机密呢
你可以加个权限管理,再说小程序不都是全网发布的吗,有微信的都能进来
我的程序是基于团队管理, 用户可以建立多个群, 群里是有权限管理的, 但加入团队这个操作为了用户体验是不需要校验的, 现在问题是测试人员老加群, 让我严重担心会加到正常用户的团队了, 使这个用户对我们小程序不满
我也有遇到这个问题。其实如果是官方人员测试,我们十分愿意配合。但是如果用户发现陌生人出现在自己好友才会出现的地方,会以为是小程序出了问题,比较影响用户体验。建议工作人员正常使用去检测或者开始检测前予以告知理由,相信小程序开发人员都是能接受的。
是的呀, 不知道还以为哪里的bug或者服务器或者数据库被泄露了
既然可以直接通过抓包发送请求进入,说明你们的后台逻辑不严谨。
没办法, 为了减少加入团队的步骤, 加入接口是开放的, 并没有限制或者确认机制
既然是团队管理,那加入是不是应该是邀请制的?
这跟前端操作步骤没有关系吧?
确实是邀请制, 问题在于被邀请人点击邀请链接后(加入团队唯一入口)我们就认为该用户已经加入该团队, 而不需要团队管理员审核. 现在是测试人员抓包或者不知道通过什么方法获取到邀请链接进入团队
那就是后台的锅了吧?
我们小程序也有
这个是你们程序自己开发的逻辑问题 改下就好了
这个功能是建立在用户不会乱分享的情况, 暂时确实没有考虑外部攻击, 但如果微信测试这么乱搞的话我们不彻底搞清楚问题或者解决都不敢随便推广了
嗯,修复一下就好了。其实从正常的逻辑来考虑的话,对于分享的用户来说,程序上应该是无法断定这个用户会不会乱搞,但是开发的时候一定要考虑到这个乱搞的情况的,建议你们还是把这块问题内部做好。
建议做好角色权限控制,这样就防止微信审核测试人员越级操作了
其他接口都有权限控制, 但加入团队接口就是故意做无权限限制的
建议你的分享卡片加入有效期验证!
正准备这么改, 但考虑如果真的是测试抓包直接访问后台, 这个方法也是治标不治本
我这小程序也是,天天来,而且昵称不一样的人,头像一样,但是头像地址不一样,
都无法判断。糟心
恶心人, 官方还不承认
怎么会允许测试人员进入你们群呢,一开始就应该让他自己建群,也只能进去他知道的群,怎么泄露了你们的群出去呢
这就是我想知道的, 我这边应该是都没有泄露出去的
正在加载...
关注后,可在微信内接收相应的重要提醒。
请使用微信扫描二维码关注 “微信开放社区” 公众号
进来抽查的,看看你的小程序有没有违规
那我团队数据不就被泄露了吗, 这不属于侵权吗
如果我团队有商业机密呢
你可以加个权限管理,再说小程序不都是全网发布的吗,有微信的都能进来
我的程序是基于团队管理, 用户可以建立多个群, 群里是有权限管理的, 但加入团队这个操作为了用户体验是不需要校验的, 现在问题是测试人员老加群, 让我严重担心会加到正常用户的团队了, 使这个用户对我们小程序不满
我也有遇到这个问题。其实如果是官方人员测试,我们十分愿意配合。但是如果用户发现陌生人出现在自己好友才会出现的地方,会以为是小程序出了问题,比较影响用户体验。建议工作人员正常使用去检测或者开始检测前予以告知理由,相信小程序开发人员都是能接受的。
是的呀, 不知道还以为哪里的bug或者服务器或者数据库被泄露了
既然可以直接通过抓包发送请求进入,说明你们的后台逻辑不严谨。
没办法, 为了减少加入团队的步骤, 加入接口是开放的, 并没有限制或者确认机制
既然是团队管理,那加入是不是应该是邀请制的?
这跟前端操作步骤没有关系吧?
确实是邀请制, 问题在于被邀请人点击邀请链接后(加入团队唯一入口)我们就认为该用户已经加入该团队, 而不需要团队管理员审核. 现在是测试人员抓包或者不知道通过什么方法获取到邀请链接进入团队
那就是后台的锅了吧?
我们小程序也有
这个是你们程序自己开发的逻辑问题 改下就好了
这个功能是建立在用户不会乱分享的情况, 暂时确实没有考虑外部攻击, 但如果微信测试这么乱搞的话我们不彻底搞清楚问题或者解决都不敢随便推广了
嗯,修复一下就好了。其实从正常的逻辑来考虑的话,对于分享的用户来说,程序上应该是无法断定这个用户会不会乱搞,但是开发的时候一定要考虑到这个乱搞的情况的,建议你们还是把这块问题内部做好。
建议做好角色权限控制,这样就防止微信审核测试人员越级操作了
其他接口都有权限控制, 但加入团队接口就是故意做无权限限制的
建议你的分享卡片加入有效期验证!
正准备这么改, 但考虑如果真的是测试抓包直接访问后台, 这个方法也是治标不治本
我这小程序也是,天天来,而且昵称不一样的人,头像一样,但是头像地址不一样,
都无法判断。糟心
恶心人, 官方还不承认
怎么会允许测试人员进入你们群呢,一开始就应该让他自己建群,也只能进去他知道的群,怎么泄露了你们的群出去呢
这就是我想知道的, 我这边应该是都没有泄露出去的