收藏
回答

微信云函数调用支付的时候,支付成功如何防止恶意调用?

如题。发起微信支付如果支付成功是会进行回调的,那么如何防止用户恶意调用。

是利用cloud.getWXContext(),进行判断嘛?

回答关注问题邀请回答
收藏

2 个回答

  • 跨商通
    跨商通
    03-27

    你想多了,不存在。

    建议自己先破解成功再说。

    除非你说的是云函数接收notify_url会被人恶意访问,别公布呗,发现攻击就换个url呗。

    03-27
    有用
    回复 6
    • 谢镜勋
      谢镜勋
      03-27
      请问云函数可能被暴露出来嘛
      03-27
      回复
    • 谢镜勋
      谢镜勋
      03-27
      我的意思就是回调函数(你说的notify_url)被用户直接调用,绕过支付。这种情况我加了一层判断,content里面有一个SOURCE,校验一下就可以
      03-27
      1
      回复
    • 跨商通
      跨商通
      03-27回复谢镜勋
      告诉你appid,云环境名,云函数名,你也没本事攻破它。
      03-27
      1
      回复
    • 跨商通
      跨商通
      03-27回复谢镜勋
      云函数别人是调用访问不了的。你随便想一下,每个小程序都会有一个login云函数,如果别人能随便访问,那。。。
      03-27
      1
      回复
    • 谢镜勋
      谢镜勋
      03-27回复跨商通
      嗯嗯,不过用web的sdk是可以调用云函数的啊(虽然需要校验用户就是),所以为了安全起见我认为还是有必要加个判断。当然如果用户只有从小程序渠道来访问的话,那如你所说没这个问题
      03-27
      回复
    查看更多(1)
  • 谢镜勋
    谢镜勋
    03-27

    我的意思是,用户调用支付的时候,会生成一个订单号,用户可以利用订单号绕过支付,直接调用回调云函数,直接支付成功!

    03-27
    有用
    回复 3
    • 跨商通
      跨商通
      03-27
      看了本天,原来你对支付流程完全不懂啊。支付成功回调,只是一个通知而已,别人就算攻破了,也不过是告诉你一个假通知,有啥用?
      03-27
      1
      回复
    • 谢镜勋
      谢镜勋
      03-27回复跨商通
      我确实是刚接触支付这一块,有什么不懂还请见谅!!这个通知里面,我修改了订单状态,所以才会问这个问题。
      03-27
      回复
    • 跨商通
      跨商通
      03-27回复谢镜勋
      嗯。如果你用的是云开发CloudPay,那么云函数functionName别人是访问不了的,不用担心别人攻破;如果你用云函数http接入来接收notify_url的回调通知,会有一个验签的步骤,也可以防止别人发假通知。
      03-27
      1
      回复
登录 后发表内容
问题标签