微信小程序中怎么實(shí)現(xiàn)API接口-創(chuàng)新互聯(lián)

這篇文章主要介紹“微信小程序中怎么實(shí)現(xiàn)API接口”的相關(guān)知識,小編通過實(shí)際案例向大家展示操作過程,操作方法簡單快捷,實(shí)用性強(qiáng),希望這篇“微信小程序中怎么實(shí)現(xiàn)API接口”文章能幫助大家解決問題。

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),東明企業(yè)網(wǎng)站建設(shè),東明品牌網(wǎng)站建設(shè),網(wǎng)站定制,東明網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,東明網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿,時(shí)刻以成就客戶成長自我,堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

一.接口安全的必要性


最近我們公司的小程序要上線了,但是小程序端是外包負(fù)責(zé)的,我們負(fù)責(zé)提供后端接口。這就可能會造成接口安全問題。一些別有用心的人可以通過抓包或者其他方式即可獲得到后臺接口信息,如果不做權(quán)限校驗(yàn),他們就可以隨意調(diào)用后臺接口,進(jìn)行數(shù)據(jù)的篡改和服務(wù)器的攻擊,會對一個(gè)企業(yè)造成很嚴(yán)重的影響。

因此,為了防止惡意調(diào)用,后臺接口的防護(hù)和權(quán)限校驗(yàn)非常重要。


雖然小程序有HTTPs和微信保駕護(hù)航,但是還是要加強(qiáng)安全意識,對后端接口進(jìn)行安全防護(hù)和權(quán)限校驗(yàn)。


二.小程序接口防護(hù)


小程序的登錄過程:

微信小程序中怎么實(shí)現(xiàn)API接口

  1. 小程序端通過wx.login()獲取到code后發(fā)送給后臺服務(wù)器

  2. 后臺服務(wù)器使用小程序的appid、appsecret和code,調(diào)用微信接口服務(wù)換取session_key和openid(openid可以理解為是每個(gè)用戶在該小程序的識別號)

  3. 后臺服務(wù)器自定義生成一個(gè)3rd_session,用作openid和session_key的key值,后者作為value值,保存一份在后臺服務(wù)器或者redis或者mysql,同時(shí)向小程序端傳遞3rd_session

  4. 小程序端收到3rd_session后將其保存到本地緩存,如wx.setStorageSync(KEY,DATA)

  5. 后續(xù)小程序端發(fā)送請求至后臺服務(wù)器時(shí)均攜帶3rd_session,可將其放在header頭部或者body里

  6. 后臺服務(wù)器以3rd_session為key,在保證3rd_session未過期的情況下讀取出value值(即openid和session_key的組合值),通過openid判斷是哪個(gè)用戶發(fā)送的請求,再和發(fā)送過來的body值做對比(如有),無誤后調(diào)用后臺邏輯處理

  7. 返回業(yè)務(wù)數(shù)據(jù)至小程序端

會話密鑰session_key 是對用戶數(shù)據(jù)進(jìn)行加密簽名的密鑰。為了應(yīng)用自身的數(shù)據(jù)安全,開發(fā)者服務(wù)器不應(yīng)該把會話密鑰下發(fā)到小程序,也不應(yīng)該對外提供這個(gè)密鑰。


session_key主要用于wx.getUserInfo接口數(shù)據(jù)的加解密,如下圖所示:

微信小程序中怎么實(shí)現(xiàn)API接口

sessionId


微信小程序開發(fā)中,由wx.request()發(fā)起的每次請求對于服務(wù)端來說都是不同的一次會話。啥意思呢?就是說區(qū)別于瀏覽器,小程序每一次請求都相當(dāng)于用不同的瀏覽器發(fā)的。即不同的請求之間的sessionId不一樣(實(shí)際上小程序cookie沒有攜帶sessionId)。


如下圖所示:

微信小程序中怎么實(shí)現(xiàn)API接口

實(shí)際上小程序的每次wx.request()請求中沒有包含cookie信息,即沒有sessionId信息。


但是我們可以在每次wx.request()中的header里增加。


接口防護(hù)方法

  • 使用HTTPS防止抓包,使用https至少會給破解者在抓包的時(shí)候提高一些難度

  • 接口參數(shù)的加密,通過md5加密數(shù)據(jù)+時(shí)間戳+隨機(jī)字符串(salt),然后將MD5加密的數(shù)據(jù)和時(shí)間戳、原數(shù)據(jù)均傳到后臺,后臺規(guī)定一個(gè)有效時(shí)長,如果在該時(shí)長內(nèi),且解密后的數(shù)據(jù)與原數(shù)據(jù)一致,則認(rèn)為是正常請求;也可以采用aes/des之類的加密算法,還可以加入客戶端的本地信息作為判斷依據(jù)

  • 本地加密混淆,以上提到的加解密數(shù)據(jù)和算法,不要直接放在本地代碼,因?yàn)楹苋菀妆环淳幾g和破解,建議放到獨(dú)立模塊中去,并且函數(shù)名稱越混淆越難讀越安全。

  • User-Agent 和 Referer 限制

  • api防護(hù)的登錄驗(yàn)證,包括設(shè)備驗(yàn)證和用戶驗(yàn)證,可以通過檢查session等方式來判斷用戶是否登錄

  • api的訪問次數(shù)限制,限制其每分鐘的api調(diào)用次數(shù),可以通過session或者ip來做限制

  • 定期監(jiān)測,檢查日志,偵查異常的接口訪問

關(guān)于“微信小程序中怎么實(shí)現(xiàn)API接口”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識,可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,小編每天都會為大家更新不同的知識點(diǎn)。

本文標(biāo)題:微信小程序中怎么實(shí)現(xiàn)API接口-創(chuàng)新互聯(lián)
分享鏈接:http://muchs.cn/article34/dcpose.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、網(wǎng)站收錄網(wǎng)站維護(hù)、品牌網(wǎng)站制作、網(wǎng)站排名、網(wǎng)頁設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)