小程序
小游戏
企业微信
微信支付
扫描小程序码分享
因为目前小程序可以被人完全破解,直接看到request的通讯接口。
我是PHP做的后端,请教下大家PHP页面如何写代码,才能做到只允许小程序的服务器POST,而禁止其他人访问?
2 个回答
加粗
标红
插入代码
插入链接
插入图片
上传视频
但是Referer是可以伪造的,那是不是无解了呢?
你好,麻烦通过点击下方“反馈信息”按钮,提供出现问题的。
拿到了他也改不了这个啊,这个是小程序自动生成的,除非用第三方的工具,但是你又可以匹配openid,第三方工具生成不了他在你上面的openid的
你可以注意到小程序有个来源
Referer:
https://servicewechat.com/{自己的Appid}/devtools/page-frame.html
可以取出来这个,然后不是自己的小程序直接什么都不输出
Appid不知道其他人是否可以有办法拿到?
我主要是不想让别人抓取request得到的数据,但是如果别人拿到了appid就可以通过伪造refer的方式来通过PHP对于refer的验证。我不太明白你提到的openid是哪里用到?
要拿到appid去读取你的数据要不是修改开发工具,可能性不大,要不是用第三的工具如果postman,但是你可以先获取用户的openid,后面的数据通讯全校验openid存在不存在,虽然不能完全避免但是也要给他们制造些麻烦,如果每次传输全用code去换取更安全
恩,明白你的意思了。如果能实现openid校验code这个办法肯定是最安全的。
关注后,可在微信内接收相应的重要提醒。
请使用微信扫描二维码关注 “微信开放社区” 公众号
但是Referer是可以伪造的,那是不是无解了呢?
拿到了他也改不了这个啊,这个是小程序自动生成的,除非用第三方的工具,但是你又可以匹配openid,第三方工具生成不了他在你上面的openid的
你可以注意到小程序有个来源
Referer:
https://servicewechat.com/{自己的Appid}/devtools/page-frame.html
可以取出来这个,然后不是自己的小程序直接什么都不输出
Appid不知道其他人是否可以有办法拿到?
拿到了他也改不了这个啊,这个是小程序自动生成的,除非用第三方的工具,但是你又可以匹配openid,第三方工具生成不了他在你上面的openid的
我主要是不想让别人抓取request得到的数据,但是如果别人拿到了appid就可以通过伪造refer的方式来通过PHP对于refer的验证。我不太明白你提到的openid是哪里用到?
要拿到appid去读取你的数据要不是修改开发工具,可能性不大,要不是用第三的工具如果postman,但是你可以先获取用户的openid,后面的数据通讯全校验openid存在不存在,虽然不能完全避免但是也要给他们制造些麻烦,如果每次传输全用code去换取更安全
恩,明白你的意思了。如果能实现openid校验code这个办法肯定是最安全的。