收藏
评论

小游戏AppSecret自查及整改指引官方

一、AppSecret说明

小游戏开发者密码(AppSecret)是一个非常重要的字段,使用该密码可以调用小游戏所有后台接口,可能造成重大安全威胁。

开发者应将AppSecret保存在后台服务器中,通过服务器使用AppSecert获取AccessToken,应避免将AppSecret放置前端代码中或者交给第三方造成泄露。


二、AppSecret自查整改指引

1、若有在前端(game.js)使用AppSecret, 需要把使用AppSecret的逻辑迁移到服务器端。如:前端传入AppSecret给某个后台接口调用jscode2session,需要把整个逻辑放到服务端去实现,参考登录流程

2.、迁移完成后,重置一次AppSecret,操作路径:登录mp.weixin.qq.com->开发管理->开发设置->开发者ID-AppSecret(小程序密钥)->重置。若AppSecret已在服务器端,也建议重置一次AppSecret以确保安全。


三、重置AppSecret注意事项

1、重置期间有几分钟过渡期,新老AppSecret都可以使用,请尽快更新为新的AppSecret

2、使用AppSecret的接口:

auth.getAccessToken

auth.code2Session


最后一次编辑于  05-17
收藏
登录 后发表内容