现在基本都是前后端分离的开发模式，http接口在客户端基本上是透明的，即使我们有鉴权，别人也能看到接口附带的token，比较轻易就可以使用程序模拟调用接口。

如果JSSDK可以提供反向签名功能，一些关键接口，我们就可以调用反向签名接口，获取到时间戳、随机字符串、签名等信息作为参数带给接口，后端使用微信公众号/企微主体的专用的ticket进行签名验证，以确保接口是从微信页面进行调用，也能更好的保障微信网页的接口安全。

技术难度不大，但用处挺大，希望官方可以考虑考虑！