微信小程序发布成功之后。 用户有没有可能通过一些特殊的处理方式,来获取到当前微信小程序的源码?
对于这种类似的问题,腾讯官方技术方面,有没有做什么相应的应对措施?
由于一直没有找到,微信小程序的官方技术支持的人工联系方式。所以在这里把问题发布出来,希望各位做技术的同仁、以及小程序的官方技术人员,能够帮忙。
谢谢!
现在有一种操作叫反编译,确实可以拿到小程序源码,一般接口都会加token,这个token来源又是wx.login时得到的,意思就是服务端那边只有原本的小程序能访问,其他的小程序都不行的。反编译得到的源码里没有project.config.json这个配置文件,不用担心appid暴露,所以别人拿到的只是前端代码,有token验证的并不能正常使用。还有一些小程序源码是经过特殊处理的,被反编译后,都不能运行。
对待“薅羊毛”的问题一般都是几个方面综合考虑的:
业务上增加人机交互的方式,尽量避免脚本调用的情况,比如:加验证码(图文、动态、滑块等等)的方式,
技术上在接口请求上增加防重放、防参数串改机制;增加用户属性的识别标准,比如通过对羊毛党手机号的号段黑名单过滤等方式、比如接入一些第三方的工具来判断用户是否存在刷单风险;公司如果有能力的话可以建立自己的风控系统,具体的设计可以参考淘宝的防刷的风控系统和京东的风控系统;
我这么说吧,我前段时间刚刚为了找官方一个api,破了人家的包。所以吧,前端也是无奈。你只能尽可能保证。再说,前端技术大家都看得到。你说百度还有淘宝,人家的前端代码你不是一样能得到。没有绝对安全,做好该做的。服务器也不安全。前端还好了,服务器的安全不是大公司都不怎么懂。
毕竟是前端,说获取不到那是假的,网上大把的文章教程反编译,但是上传的时候会进行加密混淆让可读性不那么高。所以一些安全性,重要的逻辑业务最好在后端处理(也应该说必须在后端处理),后端多加层验证层,来判断客户端传入的是否合法,就算别有用心的人扒了你的小程序源码但是接口还是用不了的。
研究的方向错了。
客户端(前端)历来没有绝对的安全,只要有人想破解,客户端的安全机制立马就会土甭瓦解。只要代码要在客户端运行,就有能力研究出来程序的运行机制。
所有前端只能简单的设置一道防护机制,防君子不防小人。小程序的包拿到后需要再反编译一下就是这个道理。
现在所有的公司都是在做数据上的安全防护,这一道把好关了,就随便他们折腾。
“导致了某些人使用特殊工具,调用网络接口,批量注册,领取礼品”
后台可以做大量的限制,增加小人们的完成这一流程的成本。比如,限制注册,领取礼品要求,实际得到礼品收益的要求,等等。。。。
“大多数都是僵尸用户。”, “能超过七成的用户都是忠实的用户”
哪个公司都没有办法避免僵尸用户,如果用户量级没有千万级或者更高,或者对服务器产生压力,就不用考虑,可以对每个用户做有效识别,或者打上标签,真要是胆大,半年后对僵尸用户做一次清理,误伤一两个有效用户,也在可以接受的范围内。
以上只是鄙人一些建议,希望帮到楼主
强力驱动