微信公眾平台開發教程(七)安全策略

2021-09-07 02:14:57 字數 1431 閱讀 8784

大概總結以下幾個方面,希望引起注意。 

過程相當於一次握手,如果握手成功,可進行後續的通訊。

成為開發者後,我們也可以進行修改

面臨的危險:

1、如url和token被破解,直接鏈結到其他公眾賬號,直接可以盜用服務。當然對於一些廣告型別賬號而言,這樣無利可圖。但是,如果是提供某種應用或者服務的公眾賬號,免費給其他賬號提供服務,勢必增加服務端壓力,帶來一定的風險。

2、如果url被破解,即使token沒被破解。一些不法分子,可能對該url進行攻擊,當然槍打出頭鳥,想被黑客盯上也不沒那麼容易。呵呵 

建議:

1、盡量保證服務的url,與提供訊息或者網頁沒有直接關係。以防止,根據url推算得出服務url。

2、可以使用url重定向,將一些路徑資訊進行隱藏。

4、token值,盡量複雜一些。 

所以在**中,我們常常會根據請求的方式來判斷是否進行簽名驗證。在之前的例子中,也曾這麼用:

/// /// 處理請求,產生響應

///

///

public string response()

else

}//處理訊息

if (method == "post")

return "無法處理";

}

根據這個原理,我們將**修改如下: 

/// /// 處理請求,產生響應

///

///

public string response()

else

}//處理訊息

if (method == "post")

}return "無法處理";

}

通常我們的公眾賬號都對應乙個openid,在處理訊息時可以獲得。這個openid是固定的,可以根據其判定傳送者的身份資訊。這種方式,可以很好的過濾無效訊息或者欺騙,只有發給我的訊息,我才處理。即使url和token被人破解,也同樣能夠保證後端服務,只為我們的公眾賬號提供服務。

/// /// 是否是發給我的呢

///

/// 接受者

/// bool

private bool issenttome(string tousername)

獲取access_token方式,通過get請求如下url

獲取access_token後,就可以操作一些高階介面

比如:建立自定義選單,是通過http請求方式:post(請使用https協議)

伺服器安全要素很多,比如:保證網路安全、設定防火牆、安裝防毒軟體、限制一些埠等等,這跟我們平時伺服器安全要求一樣,這方面資料很多,這裡不再贅述。

微信公眾平台開發教程(七)安全策略

大概總結以下幾個方面,希望引起注意。過程相當於一次握手,如果握手成功,可進行後續的通訊。成為開發者後,我們也可以進行修改 面臨的危險 1 如url和token被破解,直接鏈結到其他公眾賬號,直接可以盜用服務。當然對於一些廣告型別賬號而言,這樣無利可圖。但是,如果是提供某種應用或者服務的公眾賬號,免費...

微信公眾平台開發教程

購買位址 入門教程是下面所有教程的基礎。介紹了使用快遞100介面,實現快遞查詢的功能。介紹了使用模擬以及使用介面的方式,呼叫小黃雞的自動回覆來實現機械人。介紹了如何如何儲存使用者的地理位置,以及根據使用者的指令查詢附近商家的功能 介紹了如何在接收到訊息之後,使用介面開發出人臉識別功能。介紹了如何使用...

微信公眾平台整合開發實戰教程 微信開發教程

課程講師 57code 課程分類 asp.net mvc 適合人群 中級 課時數量 29課時 用到技術 深入mvc開發模式 c 核心語言特性 c 核心語言特性 二 檢視引擎razor 1.1.1.背景分析 1.1.2.適用範圍 對asp.net mvc開發有興趣的同學 有志進入開發行業的所有同學 1...