一个安全问题不知是否多虑,一旦3rd_session被截取,是不是可以从任何地方向服务器端获取数据
发布于 6 年前 作者 vkong 3419 次浏览 来自 问答

作为一个小程序开发的菜鸟,请确认个安全问题

小程序调用wx.login登录后,发送code给服务端获取openid和sessionkey,并拼装生成3rd_session,在服务端保存登录态即保存3rd_session,并将3rd_session发回给小程序,小程序这边保存到缓存里,要从服务端获取数据时,跟上这个3rd_session。

但服务端获得小程序传来的3rd_session后,也无法做任何防伪方面的验证,只要有3rd_session,即使从浏览器都可以直接向服务端获取数据,如何保证3rd_session不被截取呢,或者说如何保证小程序发送的请求参数无法被盗用,服务可以作防伪验证呢

1 回复

哪位大神可以帮忙解答一下不

回到顶部