小程序被反编译抄袭了,这个是前端的问题,基本不太好防。但可恶的抄袭者居然连我的服务器接口都要调用,太无耻了。。。。
网上看了些防止服务器接口被恶意调用的解决方案,但好像都挺麻烦(需要获取openid,再生成token什么的)。请问大家一般怎样来解决这个问题,也就是说大家用什么方法来解决服务器接口验证问题?
我看网上有人说小程序发起网络会带一个 referer header。其格式固定为 https://servicewechat.com/{appid}/{version}/page-frame.html,其中 {appid} 为小程序的 appid,我想在服务器端获得referer header这个字符串,然后在服务器端判断这个字符串是否包含我的appid,包含的话,就是合法访问,不包含就是非法访问。请问这样可以吗?我感觉好像不会有误判,而且处理上很容易,不用更新前端代码(不用重新审核),只是改动下服务器端就可以了。
但还是担心这样做会不会有什么问题。请官方或者其他老师指教,谢谢!
wx.login传code给后端调用code2Session,服务端生成加密token返回。接口调用设置需要token。
安全方面推荐试试云托管,利用微信私有链路的能力,实时保障通信安全,后台访问接口甚至都无需暴露到公网。对小程序业务来说还是保持发送http请求不变,微信底层会自动将http请求转译成微信的私有协议,所有的通信数据都会进行实时加密,通过安全的链路传递给后端服务中,后端服务器中收到的也是http报文,也无需做什么改动。防止通信数据被爬被窃取、防DDoS攻击、防DNS劫持。
云托管:https://developers.weixin.qq.com/miniprogram/dev/wxcloudrun/src/basic/intro
看你的服务器连最基本的安全措施都没有,我判断也就是个初级的简单的系统,改成云开发吧,目测移植成本也不高,还可以学习云开发。
把所有接口加上登录验证,小程序是可以静默登录的