收藏
回答

暴露openid会带来什么安全隐患?

各路大神路过请留步。

公司内部使用的小程序,通过openid判断权限,首次使用需要通过短信验证后绑定openid。

每次请求后端接口都需要附上openid(wx.login在后端获取后返回小程序)和在云函数生成的token,token有效期为2秒。。。目前运行比较平稳。。。

昨天各单位提出:

在小程序端可以新增账户,新账户A把openid提供给管理员,管理员通过在小程序输入并进行绑定。。

那么新账户A想要获得自己的openid,就得在小程序上展示。如果坏人拿到别人这个openid,会有什么隐患???

回答关注问题邀请回答
收藏

2 个回答

  • 一直在,
    一直在,
    03-18

    新用户授权后再返回userId,管理通过userId请求后端,后端通过操作userId对应的openid来进行权限绑定。不知道这样可以不

    03-18
    有用
    回复 2
    • 我叫MT
      我叫MT
      03-18
      可以通过模拟userid向后端发送请求。数据也会暴露出来。
      用户A,不小心把userid或openid泄露了,坏人就拿着这个ID去请求后端接口。后端接收到前端传来的ID,无法分辨是正常在小程序发出还是别人模拟的。
      03-18
      回复
    • 一直在,
      一直在,
      03-18回复我叫MT
      用户授权后通过小程序分享把id转发给管理员(在页面中不展示,分享时携带),管理员进入到页面后,根据场景值获取到id,再调用接口。这样可以降低id暴露几率吧
      03-18
      回复
  • 陈宇明
    陈宇明
    03-18

    模拟用户做操作

    03-18
    有用
    回复 1
    • 我叫MT
      我叫MT
      03-18
      有什么办法杜绝这种隐患?
      03-18
      回复
登录 后发表内容
问题标签