楼主解决了吗?这个好恶心,万恶的腾讯,真垃圾
微信支付一直回调echo 'SUCCESS' return 'SUCCESS' echo '<xml><return_code><![CDATA[SUCCESS]]></return_code><return_msg><![CDATA[OK]]></return_msg></xml>'; return '<xml><return_code><![CDATA[SUCCESS]]></return_code><return_msg><![CDATA[OK]]></return_msg></xml>'; 全部没用
2020-09-25楼主这么好的一个想法,居然被这么多人喷,我不知道你们喷的初衷是什么。
官方怎么看?只需两步获取任何微信小程序源码看来此问题无解,结贴了,大家混淆下,该干啥干啥。 - 需求的场景描述 获取任何微信小程序源码的漏洞,官方怎么看 此问题年初的时候就有人爆出来过,后来以为修复了,不过目前来看仍然可用…… 希望能引起重视,要不然整合生态圈相当脆弱,虽然有侵权保护机制,但这只能保护到品牌,对于开发者来说如果被拿到源码,就成了原创者的血泪史了! - 希望提供的能力 希望能解决源码泄露的安全问题 如果目前还在不到从根本上解决问题的话,官方对我们开发者有什么好的建议可以临时性地解决此问题?
2018-09-05我也遇到了...
为什么form的formId有时获取到的是时间戳ios下获取form组件submit后的formId是这样的格式:472be418fa10c861fea8faadba4caf8b 但是在android下,发现用户的formId格式是:1527130096088 这样的当前时间戳格式, 请问是否正常?
2018-09-05谁能解答下,比较急,谢谢
button=bindgetuserinfo的点击与wx.login先后顺序之前通过 `wx.getUserInfo()` 获取用户信息时,它有个前提条件要求先 `wx.login()` 而且未过期。现在换成通过按钮触发的形式后,是在哪一个阶段获取授权code呢?是在点击按钮之前就要获取到code?还是在bindgetuserinfo的回调函数内部获取code? 在bindgetuserinfo的回调函数内部获取的code,会不会是无效的? 以为部分JS源码(mpvue): [代码] [代码][代码]export [代码][代码]default[代码] [代码]{[代码] [代码] [代码][代码]methods: {[代码] [代码] [代码][代码]async onGetUserInfo (res) { [代码][代码]// bindgetuserinfo的回调函数[代码] [代码] [代码][代码]const that = [代码][代码]this[代码] [代码] [代码][代码]const { userInfo, errMsg, encryptedData, iv } = res.target[代码] [代码] [代码][代码]if[代码] [代码](errMsg === [代码][代码]'getUserInfo:ok'[代码][代码]) {[代码] [代码] [代码][代码]wx.login({[代码] [代码] [代码][代码]success (loginRet) {[代码] [代码] [代码][代码]if[代码] [代码](loginRet[[代码][代码]'code'[代码][代码]]) {[代码] [代码] [代码][代码]that.loginAfter({[代码] [代码] [代码][代码]userInfo,[代码] [代码] [代码][代码]encryptedData,[代码] [代码] [代码][代码]iv,[代码] [代码] [代码][代码]code: loginRet[[代码][代码]'code'[代码][代码]][代码] [代码] [代码][代码]})[代码] [代码] [代码][代码]}[代码] [代码] [代码][代码]},[代码] [代码] [代码][代码]complete (loginRet) {[代码] [代码] [代码][代码]if[代码] [代码](!loginRet[[代码][代码]'code'[代码][代码]]) {[代码] [代码] [代码][代码]wx.showModal({ title: [代码][代码]'授权失败'[代码] [代码]})[代码] [代码] [代码][代码]}[代码] [代码] [代码][代码]}[代码] [代码] [代码][代码]})[代码] [代码] [代码][代码]}[代码] [代码] [代码][代码]},[代码] [代码] [代码][代码]loginAfter ({ userInfo, encryptedData, iv, code }) {[代码] [代码] [代码][代码]// 服务端通过 code 获取 session_key 再解密 decrypted 获取 openid unionid[代码] [代码] [代码][代码]}[代码] [代码] [代码][代码]}[代码] [代码] [代码][代码]}[代码] [代码]</script>[代码] ============================ 补充,问题已经解决了,下面是一些心得: 在做小程序授权登录时, 不同的人有不同的实现细节, 导致有各种不一致的描述, 与他人进行沟通讨论的时候, 思想很难保持同步。 ### 微信官网登录时序图示例 ![](https://images2018.cnblogs.com/blog/1303135/201809/1303135-20180906120150079-810857681.png) ### `wx.login()`会刷新 session_key 吗 ![](https://images2018.cnblogs.com/blog/1303135/201809/1303135-20180906211103650-366063863.png) 下面是我连续3次测试的结果, 可以看出三个不同的 code 得到相同 session_key: ``` | code | session_key | | - | - | | 061AlTTl1NN1Xk0ZmcUl1iZ0Ul1AlTTi | eTVWziFnhu2vG+iVrjDOqA== | 071Rl0SD0Dd7Sc2hkkOD0asORD0Rl0SW | eTVWziFnhu2vG+iVrjDOqA== | 071wl53j2qtQCH0SfKZi2SVN2j2wl53d | eTVWziFnhu2vG+iVrjDOqA== ``` 我决定等待10分钟之后再去尝试: ``` code_xxx LMiKHyNLaGHidXqSsg4Ung== ``` 果然 session_key 发生了变化,这和[官网文档说明](https://developers.weixin.qq.com/miniprogram/dev/api/signature.html#wxchecksessionobject)符合: > 原文:微信不会把session_key的有效期告知开发者。我们会根据用户使用小程序的行为对session_key进行续期。用户越频繁使用小程序,session_key有效期越长。 ### 数据签名校验? ![](https://images2018.cnblogs.com/blog/1303135/201809/1303135-20180906213036296-17637551.png) 签名算法 `signature = sha1( rawData + session_key )` ,意味着两个参数都相同,或者两个参数都不同,其签名才可能一致。所有我一个大胆的尝试,如果我更改我的性别或者昵称,那么前端得到的rawData 也会发生变更,session_key 也会发生变更,才能通过签名验证。可惜的是我更改了我的用户信息之后,通过调试发现 rawData 并没有立即发生变更。 ### 我个人当前的做法 每次涉及到解密用户信息时,前端都会重新回去授权 code ,服务端使用 code 获取 session_key,然后再解密。 虽然微信小程序官网有说明 code 的有效期为5分钟,经过测试发现不止5分钟(我发现10分钟也没过期)。但是为了避免 code 过期,还是要注意相关的逻辑。 ### 总结 希望上面的几个比较重要的点能够帮助你,同时希望你留言一起讨论大家的实现区别,谢谢您的阅读!
2018-09-05当mode=multiSelector 反应特别慢 卡到爆
picker 组件导致 IOS微信崩溃、卡顿* Bug 表现是什么?预期表现是什么? 点击 picker 组件后,无任何反应,几秒、几十秒后出现 picker 组件效果。 此期间重复点击会导致几秒、几十秒后 微信崩溃,系统卡死重启。 * 如何复现? 试一下 picker 组件为城市选择器模式。(其他的没有试过)
2018-07-05