如何保护开发者api不受攻击
发布于 6 年前 作者 chengxiuying 2597 次浏览 来自 问答

在开发过程中

有一个步骤即

we.login 获得的 code  请求开发者服务器  然后请求  code2Session 得到 open_id  返回 3rd_session

再这之后 可以通过 3rd_session  对API方法 进行验证

但是没有session之前这个接口 应该如何保护   微信API  对 code2Session 连接有 1分钟 请求 100次限制

如果 有恶意抓包到 URL 频繁访问这个URL   小程序那边来了登陆用户 就会被 微信API 拒绝

求解

2 回复
-1系统繁忙,此时请开发者稍候再试
0请求成功
40029code 无效
45011频率限制,每个用户每分钟100次

需要code参数,无效code是会拒绝

而且频率限制是用户级别的,可以理解为请求成功才会进入计数器。

综合,基本上是你想多了。

想多了,如果是这样的话,早被微信服务器拒绝了,试想一下,appid只是这种形式:wx*******,恶意者完全不需要知道你的appid就可以发起攻击,所有小程序都要遭殃了

回到顶部