小程序
小游戏
企业微信
微信支付
扫描小程序码分享
1、你的小游戏代码中含AppSecret,存在安全风险。请尽快重置AppSecret及修改逻辑,并把AppSecret的使用迁移到后台服务器中(若AppSecret已在服务器端,也建议重置一次AppSecret以确保安全)
从头到尾微信的appsecret就没保存到前端过,一直再云函数上。现secret关键字都删了,appkey、appid关键字都删,appsecret也重置过了,提审了6次还是不过,请问官方大佬能看看吗?
1 个回答
加粗
标红
插入代码
插入链接
插入图片
上传视频
## 背景
收到此消息,表明你们的AppSecret可能已经泄露一段时间了,需要进行整改
## AppSecret整改指引
1. 若有在前端(game.js)使用AppSecret, 需要把使用AppSecret的逻辑迁移到服务器端
比如:前端传入AppSecret给某个后台接口调用jscode2session,需要把整个逻辑放到服务端去实现,参考登录流程: https://developers.weixin.qq.com/minigame/dev/guide/open-ability/login.html
2. 迁移完成后,重置一次AppSecret,操作路径:登录mp.weixin.qq.com->开发管理->开发设置->开发者ID-AppSecret(小程序密钥)->重置。若第1点之前已完成,也建议重置一次AppSecret
重置AppSecret注意事项:
- 重置期间有几分钟过渡期,新老AppSecret都可以使用,请尽快更新为新的AppSecret
- 使用AppSecret的接口:
a) auth.getAccessToken:https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/access-token/auth.getAccessToken.html
b) auth.code2Session:https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/login/auth.code2Session.html
## AppSecret泄露后的安全隐患
AppSecret相当于游戏开发者的身份凭证,一旦泄露,第三方就可以通过微信开放的服务端API读写该游戏的相关数据,举例如下:
- 可以查询到该小游戏的统计数据:https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/data-analysis/analysis.getGameAnalysisData.html
- 可以给该小游戏的玩家发送订阅消息(需要知道已订阅的用户的openid): https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/subscribe-message/subscribeMessage.send.html
- 可以借用你们的服务额度(需要知道该openid最近2小时登录过你们的游戏):https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/sec-check/security.msgSecCheck.html
你好,麻烦通过点击下方“反馈信息”按钮,提供出现问题的。
关注后,可在微信内接收相应的重要提醒。
请使用微信扫描二维码关注 “微信开放社区” 公众号
## 背景
收到此消息,表明你们的AppSecret可能已经泄露一段时间了,需要进行整改
## AppSecret整改指引
1. 若有在前端(game.js)使用AppSecret, 需要把使用AppSecret的逻辑迁移到服务器端
比如:前端传入AppSecret给某个后台接口调用jscode2session,需要把整个逻辑放到服务端去实现,参考登录流程: https://developers.weixin.qq.com/minigame/dev/guide/open-ability/login.html
2. 迁移完成后,重置一次AppSecret,操作路径:登录mp.weixin.qq.com->开发管理->开发设置->开发者ID-AppSecret(小程序密钥)->重置。若第1点之前已完成,也建议重置一次AppSecret
重置AppSecret注意事项:
- 重置期间有几分钟过渡期,新老AppSecret都可以使用,请尽快更新为新的AppSecret
- 使用AppSecret的接口:
a) auth.getAccessToken:https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/access-token/auth.getAccessToken.html
b) auth.code2Session:https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/login/auth.code2Session.html
## AppSecret泄露后的安全隐患
AppSecret相当于游戏开发者的身份凭证,一旦泄露,第三方就可以通过微信开放的服务端API读写该游戏的相关数据,举例如下:
- 可以查询到该小游戏的统计数据:https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/data-analysis/analysis.getGameAnalysisData.html
- 可以给该小游戏的玩家发送订阅消息(需要知道已订阅的用户的openid): https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/subscribe-message/subscribeMessage.send.html
- 可以借用你们的服务额度(需要知道该openid最近2小时登录过你们的游戏):https://developers.weixin.qq.com/minigame/dev/api-backend/open-api/sec-check/security.msgSecCheck.html