服务器后台为微信小程序提供的api，怎样保证只能是微信访问，而不被恶意使用？ - WXOPEN Club

服务器后台为微信小程序提供的api，怎样保证只能是微信访问，而不被恶意使用？只在IIS中添加了url转向，判断http_referer是否来自微信。其他访问一律忽略，但依然发现不断有尝试信息：

Exception message: 从客户端(nv_toString="…ew Array(1<e?e-1:0),r=1;r<e;r+…")中检测到有潜在危险的 Request.Form 值。

请问大家有什么好办法。

楼主可以尝试开放一个 gettoken的接口通过login方法获取code换取微信小程序的openid，通过gettoken返回含有openid的jwt。

其它所有请求接口都需要验证jwt，如果失效了重新获取。

这种方法用户第一次访问会稍微慢一点，但是相对安全。

注：我曾经使用过这种办法，但最后还是决定开放接口了。