小程序与后台通讯时有一个巨大的隐患,就是有心人可以反编译小程序,然后获得网络访问详情,伪造数据发给后台,这导致任何有奖活动都变得不靠谱。
比如,我想利用加速度计API的数据做一些活动,小程序把加速度计数据输出到后台,后台比较后决定是否中奖,哪怕我在小程序中加密这些数据后发送给后台,别人也可以反编译后,借用你的加密函数伪造数据。
唯一的选择就是官方自己加密加速度计的输出数据,后台再利用相同密码解密,这样就大大杜绝了伪造的机会,密码可以由用户在公众号后台设置,甚至可以直接利用小程序的App secrete作为这些API的加密密码。
我相信还有其它API的输出需要被加密,增加一个加密选项完全可以向后兼容,希望官方能尽快考虑实现~