收藏
回答

关于公众号网页未授权个人信息,却自动获取到了他人信息的问题。

目前在公众号发现这么一个问题:

商家在多个地区有独立的会员中心服务器和公众号,为了方便用户,把这几个地区的公众号授权链接放到了同一个公众号的菜单里。(授权链接格式:https://open.weixin.qq.com/connect/oauth2/authorize?appid=【公众号APPID】&redirect_uri=【商家网页会员链接】&response_type=code&scope=snsapi_userinfo&state=wsy#wechat_redirect )

用户点击公众号菜单的时候,由于未关注公众号,所以是《预览界面,需要点击底部黑色框的【授权个人信息查看完整内容】才会授权oppenid给公众号。

问题就出现在这个《预览界面》,它虽然没有提供当前用户的oppenid,但是随机提供了一个用户的code($_GET["code"]能获取到数据),然后根据这个code调用(https://api.weixin.qq.com/sns/oauth2/access_token)接口又获取到了其他用户的oppenid!!!导致用户在《预览界面》看到了其他用户的会员信息!!!

所以,如果是未授权个人信息的《预览界面》,能不能别提供随机code?哪怕你提供一个长度错误的code给我也行啊,只要oauth2接口没获取到oppenid,我就不会显示别人的信息出来啊,直接跳转领卡界面给他。

回答关注问题邀请回答
收藏

1 个回答

  • Mr.Zhao
    Mr.Zhao
    2023-08-09

    有没有可能图上这个人的信息,不是真实openid是快照openid,然后后面的人获取快照openid刚好一样,就把信息带出来了

    2023-08-09
    有用
    回复 2
    • 流星丶尘
      流星丶尘
      2023-08-09
      应该不是,我这里领卡要跳转另一个页面填姓名手机,快照openid应该进不到提交页面
      2023-08-09
      回复
    • Mr.Zhao
      Mr.Zhao
      2023-08-09回复流星丶尘
      你自己都持怀疑态度,别应该
      2023-08-09
      回复
登录 后发表内容