回答

置顶如何保护开发者api不受攻击精选热门

2019-03-094036浏览问题模块： Bug反馈

在开发过程中

有一个步骤即

we.login 获得的 code 请求开发者服务器然后请求 code2Session 得到 open_id 返回 3rd_session

再这之后可以通过 3rd_session 对API方法进行验证

但是没有session之前这个接口应该如何保护微信API 对 code2Session 连接有 1分钟请求 100次限制

如果有恶意抓包到 URL 频繁访问这个URL 小程序那边来了登陆用户就会被微信API 拒绝

求解

最后一次编辑于 2019-03-09

2 个回答

杨李云
2019-03-09
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
-1 系统繁忙，此时请开发者稍候再试
0 请求成功
40029 code 无效
45011 频率限制，每个用户每分钟100次

需要code参数，无效code是会拒绝

而且频率限制是用户级别的，可以理解为请求成功才会进入计数器。

综合，基本上是你想多了。

你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2019-03-09
有用 1
回复 1
- 行者
  2019-03-10
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  多谢
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2019-03-10
  赞
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
铭锋科技
2019-03-09
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
想多了，如果是这样的话，早被微信服务器拒绝了，试想一下，appid只是这种形式：wx*******，恶意者完全不需要知道你的appid就可以发起攻击，所有小程序都要遭殃了
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2019-03-09
有用 1
回复 1
- 行者
  2019-03-10
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  ok 明白了
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2019-03-10
  赞
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他

请登录后发表内容

置顶如何保护开发者api不受攻击精选热门

请选择投诉理由

删除当前帖子

删除后帖子内容及评论将一并被删除，且不可恢复。

关注“微信开放社区”公众号

反馈

新增或编辑超链接

插入视频

新增或编辑超链接

插入视频

请选择投诉理由

请选择投诉理由

新增或编辑超链接

插入视频

新增或编辑超链接

插入视频

请选择投诉理由

请选择投诉理由

新增或编辑超链接

插入视频

关注“微信开放社区”公众号

-1	系统繁忙，此时请开发者稍候再试
0	请求成功
40029	code 无效
45011	频率限制，每个用户每分钟100次