因为小程序端业务的特殊性，最接经常被黄牛党薅羊毛，导致正常消费者的权益受到影响，我想在小程序端对请求的数据进行RSA签名和AES加密后再发起请求，问题是在签名使用的私钥与加密使用的key与iv以什么样的方式存放到客户端比较好呢，目的是为了私钥与key完全不透明，通过抓包与反编译小程序均无法看到这两个东西，目前有两种思路： 1、通过授权登录接口下发私钥与key； 2、通过提审小程序时的第三方ext_json文件储存 第一种方式明显对于黑客而言私钥与key是暴露的，不知道微信的第三方ext_json文件是什么样的机制，通过这种方式下发私钥能否被黑客获取到。另外除此之外，是否还有其他更安全的方式下发私钥呢。

今天晚上飞曼谷，在飞机上想改小程序的bug。突然发现必须联网。别这样 不能在飞机上开发小程序 不开心。。。。。