https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html
根据文档可知 小程序端需调用 wx.login 后获取code 然后code可换取用户openid code仅可使用一次
但近期发现攻击者通过触发我方后端检测code的接口,并传入code后生成用户信息
疑问:
1.他的code是在哪获取到的 为什么他会有大量的code(我发现他请求使用的code每天可创建五百条左右用户)?
2.除了根据我方通过ip或其他技术手段避免注册外,微信是否有其他注册方式?
能通过接口获取openid的code都是合法的code,没办法检测出是否是攻击
正常code是通过用户访问小程序端才生成的,而且code仅5分钟内有效,被伪造的概率很低。
也不排除人家是通过群控设备去访问的,如果是的话这种无法区分的,如果你知道对方的IP就直接禁止对应IP访问。
也可以使用云函数直接给服务端返回用户的openid,看看还会不会有类似的问题。
有内鬼!