当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险?
发布于 5 年前 作者 zhouqiang 5691 次浏览 来自 官方Issues

你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。

请问一下这里哪里不符合规范了,

1,小程序中除了jscode2session,这个api,没有使用到“secret”相关的了。

2,我们的token也是我们自己后台中获取的,跟小程序中获取的token不相干,这个有影响吗?

3,如果不是上面的问题,那请问具体审核不通过的原因是什么,贵司官方文档过于简单,完全不明白,具体排除原理和涉及secret的字符串有哪些!请帮助一下,我们方便根据具体规则严格排查


1 回复

你好,这边核实到你的小程序最新提交代码审核已完成审核,请留意站内信。

回到顶部