一、AppSecret说明
小游戏开发者密码(AppSecret)是一个非常重要的字段,使用该密码可以调用小游戏所有后台接口,可能造成重大安全威胁。
开发者应将AppSecret保存在后台服务器中,通过服务器使用AppSecert获取AccessToken,应避免将AppSecret放置前端代码中或者交给第三方造成泄露。
二、AppSecret自查整改指引
1、若有在前端(game.js)使用AppSecret, 需要把使用AppSecret的逻辑迁移到服务器端。如:前端传入AppSecret给某个后台接口调用jscode2session,需要把整个逻辑放到服务端去实现,参考登录流程。
2.、迁移完成后,重置一次AppSecret,操作路径:登录mp.weixin.qq.com->开发管理->开发设置->开发者ID-AppSecret(小程序密钥)->重置。若AppSecret已在服务器端,也建议重置一次AppSecret以确保安全。
三、重置AppSecret注意事项
1、重置期间有几分钟过渡期,新老AppSecret都可以使用,请尽快更新为新的AppSecret
2、使用AppSecret的接口:
