收藏
回答

如何保护开发者api不受攻击

在开发过程中

有一个步骤即


we.login 获得的 code  请求开发者服务器  然后请求  code2Session 得到 open_id  返回 3rd_session


再这之后 可以通过 3rd_session  对API方法 进行验证


但是没有session之前这个接口 应该如何保护   微信API  对 code2Session 连接有 1分钟 请求 100次限制


如果 有恶意抓包到 URL 频繁访问这个URL   小程序那边来了登陆用户 就会被 微信API 拒绝


求解


最后一次编辑于  2019-03-09
回答关注问题邀请回答
收藏

2 个回答

  • 杨李云
    杨李云
    2019-03-09
    -1系统繁忙,此时请开发者稍候再试
    0请求成功
    40029code 无效
    45011频率限制,每个用户每分钟100次



    需要code参数,无效code是会拒绝


    而且频率限制是用户级别的,可以理解为请求成功才会进入计数器。


    综合,基本上是你想多了。


    2019-03-09
    有用 1
    回复 1
    • 行者
      行者
      2019-03-10

      多谢

      2019-03-10
      回复
  • 铭锋科技
    铭锋科技
    2019-03-09

    想多了,如果是这样的话,早被微信服务器拒绝了,试想一下,appid只是这种形式:wx*******,恶意者完全不需要知道你的appid就可以发起攻击,所有小程序都要遭殃了

    2019-03-09
    有用 1
    回复 1
    • 行者
      行者
      2019-03-10

      ok 明白了

      2019-03-10
      回复
登录 后发表内容