云开发涉及到的业务问题是否应该全部放到云函数去执行才安全?如果有黑客在破解的微信上操作小程序,那么小程序内部所创建的数据的安全性是否就不能得到保障了,我举个例子
创建订单,数据库权限推荐,用户的订单创建是可以让用户自己来生成或修改的,那么,订单的金额、使用的优惠券等核心敏感数据,如果让用户具备随意修改的权限,那是否用户通过非法方式可以下一个1000元的订单,但是在创建订单的时候把数据修改为1元呢?求官方或大神解答一些,谢谢了
| 框架类型 | 问题类型 | 终端类型 | AppID | 基础库版本 |
|---|---|---|---|---|
| 小程序 | Bug | 客户端 | wx5f4ce9f62dfb38f9 | 2.4.1 |
云开发涉及到的业务问题是否应该全部放到云函数去执行才安全?如果有黑客在破解的微信上操作小程序,那么小程序内部所创建的数据的安全性是否就不能得到保障了,我举个例子
创建订单,数据库权限推荐,用户的订单创建是可以让用户自己来生成或修改的,那么,订单的金额、使用的优惠券等核心敏感数据,如果让用户具备随意修改的权限,那是否用户通过非法方式可以下一个1000元的订单,但是在创建订单的时候把数据修改为1元呢?求官方或大神解答一些,谢谢了
3 个回答
你好,我刚开始接触云开发,有个可能很简单的问题...
就是像创建订单、修改订单状态之类操作在小程序端肯定是不安全的,一般都是调用云函数去执行相关操作。
那么我想问下用Cloud.callFunction来调用云函数这个过程安全吗?就是会不会有黑客可以主动调用我们的云函数,从而来操作数据库呢?
前提你得把微信客户端破解了
不过云开发微信 小程序端 修改 权限 就是 不管是谁都是普通用户
管理员都没权限去修改 不是自己 openid的数据
我的意思是,如果我的order集合设置的权限是创建者和管理者可读写,那么是否存在我自己为自己创建一个假订单的情况?
关于破解:晚上不是有很多破解版吗,群控之类的
我想问的是:是否核心业务必须全部放到云函数上处理才安全?订单虽然是用户创建的,但是订单金额不应该放在本机计算并创建订单,应该放到云函数。不知道我这么理解是否正确,假如成立的话,后段的业务明显要加重很多,大多数的核心业务全部都要迁移到云函数去处理。
谢谢回答
小程序端
设置的权限是创建者和管理者可读写
还是只能改 _openid 是自己的
只要云函数 才能无差别修改
安全问题 的话 还是可靠的 毕竟微信鉴权 了 。
但是 前端 有不可控性 比如 操作者客户端 断网了
但钱已经给了 。。订单还是修改状态 。0.0这时候 你能怎么办
我的理解是,云开发还是要区分前后端思维的,云函数属于后端,安全性通过微信官方的鉴权去做保障,所以核心业务逻辑必须要放到云函数去处理。
本来就分的
这个用户订单管理,指的是确定收货这样的。你说的订单金额,是程序用数据,非要设权限,那就是仅管理员可写