小程序一旦被反编译,如何保证后端接口的安全性

发布于 2022-09-11 16:47:09 字数 69 浏览 32 评论 0

微信小程序和支付宝小程序,都存在源码被下载的可能。

这时候,请问我们怎么可以控制后端接口不要被其他人盗用?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

墨洒年华 2022-09-18 16:47:09
  1. 接口要绝对不被访问基本是不可能,尤其是已经可以完全清楚你正常的访问方式时。
  2. 需要保护的接口,一般都是有会话状态,即需要“登录”获得token。这样,前端安全问题就变成是token的获得、传输和保存,范围就缩小了
城歌 2022-09-18 16:47:09

没什么好办法,因为任何能下发到客户端的信任凭证,在攻击者拿到客户端源码后也都能拿到。

即便是构造私有协议、加密,在有客户端源码的情况下都是无力的。

如果是依靠客户端版本或其他需要客户端配合产生的信任凭证,那攻击者能下一次源码就能下第二次,从这个角度来说,攻击者就是一个合法的客户端,你没有办法区分它。毕竟是个公网客户端又不是加个访问白名单就能搞定的。

HTTP 的请求头又能随便构造。

这个问题是个成本问题,即你只能在一个 session 频繁访问接口的时候判断它是一个非法调用,至于这个频繁要怎么定义就只能你自己根据正常用户的操作频率来定义了。

所以说这就跟反爬一样,能做的就只有 "判断是不是正常用户的操作" 就行了。

说起来对于小程序的情况,估计 IP 黑名单也不是很好使,因为手机 IP 是很容易变得,万一误封(比如公共 wifi)就不好了。

以上仅限于我目前掌握的知识而言,也许有大佬会有不错的解决办法。

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文