目前在公众号发现这么一个问题:
商家在多个地区有独立的会员中心服务器和公众号,为了方便用户,把这几个地区的公众号授权链接放到了同一个公众号的菜单里。(授权链接格式:https://open.weixin.qq.com/connect/oauth2/authorize?appid=【公众号APPID】&redirect_uri=【商家网页会员链接】&response_type=code&scope=snsapi_userinfo&state=wsy#wechat_redirect )
用户点击公众号菜单的时候,由于未关注公众号,所以是《预览界面》,需要点击底部黑色框的【授权个人信息查看完整内容】才会授权oppenid给公众号。
问题就出现在这个《预览界面》,它虽然没有提供当前用户的oppenid,但是随机提供了一个用户的code($_GET["code"]能获取到数据),然后根据这个code调用(https://api.weixin.qq.com/sns/oauth2/access_token)接口又获取到了其他用户的oppenid!!!导致用户在《预览界面》看到了其他用户的会员信息!!!
所以,如果是未授权个人信息的《预览界面》,能不能别提供随机code?哪怕你提供一个长度错误的code给我也行啊,只要oauth2接口没获取到oppenid,我就不会显示别人的信息出来啊,直接跳转领卡界面给他。
有没有可能图上这个人的信息,不是真实openid是快照openid,然后后面的人获取快照openid刚好一样,就把信息带出来了