收藏
回答

如何保护开发者api不受攻击

在开发过程中

有一个步骤即


we.login 获得的 code  请求开发者服务器  然后请求  code2Session 得到 open_id  返回 3rd_session


再这之后 可以通过 3rd_session  对API方法 进行验证


但是没有session之前这个接口 应该如何保护   微信API  对 code2Session 连接有 1分钟 请求 100次限制


如果 有恶意抓包到 URL 频繁访问这个URL   小程序那边来了登陆用户 就会被 微信API 拒绝


求解


最后一次编辑于  03-09  (未经腾讯允许,不得转载)
邀请回答
复制链接收藏投诉关注问题回答

2 个回答

  • 铭锋科技
    铭锋科技
    03-09

    想多了,如果是这样的话,早被微信服务器拒绝了,试想一下,appid只是这种形式:wx*******,恶意者完全不需要知道你的appid就可以发起攻击,所有小程序都要遭殃了

    03-09
    赞同 1
    回复 1
    • 行者
      行者
      03-10

      ok 明白了

      03-10
      回复
  • 杨李云
    杨李云
    03-09
    -1系统繁忙,此时请开发者稍候再试
    0请求成功
    40029code 无效
    45011频率限制,每个用户每分钟100次



    需要code参数,无效code是会拒绝


    而且频率限制是用户级别的,可以理解为请求成功才会进入计数器。


    综合,基本上是你想多了。


    03-09
    赞同 1
    回复 1
    • 行者
      行者
      03-10

      多谢

      03-10
      回复