使用https协议,对小程序的服务端接口,其实没有任何保护作用吧?
微信要求服务端的接口使用https协议用于响应小程序的请求。
而小程序的前端代码已被发现 可轻松反编译,相当于https接口是暴露的,服务端无法验证https接口的请求是来自于自己的小程序,还是其他冒用的小程序或网页。
所以https对接口的保护没有任何作用咯?
所以https只是用于保护数据在传输过程中的安全性。
使用https协议,只能保证服务端和张三通信时,李四不知道服务端和张三聊了什么。
如果李四冒充张三和服务端通信,服务端根本无法辨别他是不是张三。
李四也可以直接以李四的身份与服务端通信。
这样理解,对吧?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
额,你认为的对接口保护是包含哪些呢?保护用户不被 dns劫持到第三方,保护用户请求的数据再传输中不被篡改,保护用户请求到正确的服务器,这些也算是保护接口啊.
一般使用的 https只是客户端验证你请求的不是伪造的服务器.而服务器认为你都是客户,程序无法识别你定义的自然人,后端程序也仅仅是通过客户的 token 来识别是谁的,就算是你后端的业务逻辑,也不知道用户是否是盗用他人的 token 来请求的啊.
其实https保护的并不是保护服务端不被恶意请求。最重要的还是后端做好逻辑处理,做到即使是伪客户端的请求,也不会 对业务影响而引发数据错误。