V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
whoami9894
V2EX  ›  微信

微信小程序签到接口鉴权问题

  •  
  •   whoami9894 · 2019-10-27 23:12:10 +08:00 · 3477 次点击
    这是一个创建于 1871 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在需要做一个微信小程序的签到接口,由小程序端获取定位坐标判断是否在区域内,然后请求接口签到

    小程序的源码很容易弄到,这样就可以绕过直接访问接口签到,那么有什么办法能够为接口添加鉴权保证用户这能通过小程序正常流程访问。签名 /加密在源码已有的情况下好像没太大用

    p.s. 除此之外,关于签到表的设计,正常用一个字段存时间戳就行了;一个同学想法要每天建一个新表放签到信息,说这样每张表数据少索引时的性能更好,我虽然觉得不符合常理不过好像也没什么大问题(除了占多点内存存表元信息),V 友怎么看 (笑

    7 条回复    2019-10-28 15:38:03 +08:00
    also24
        1
    also24  
       2019-10-28 00:37:56 +08:00
    每次打卡都做一次登录,code 换 session 这个方法很难被模拟(因为是微信负责安全问题)

    https://developers.weixin.qq.com/miniprogram/dev/api-backend/open-api/login/auth.code2Session.html
    fetich
        2
    fetich  
       2019-10-28 01:31:07 +08:00
    可以用云函数,接口什么的就不会暴露了
    whoami9894
        3
    whoami9894  
    OP
       2019-10-28 11:40:56 +08:00 via Android
    @also24
    查了一下好像暂时没有公开的 code 模拟代码。那用户能不能通过反编译小程序源码,通过微信开发者工具加载,然后直接调用 wx.login 获取 code 再请求(绕过定位)?不太清楚这个 code 的生成机制能不能限制
    whoami9894
        4
    whoami9894  
    OP
       2019-10-28 11:41:18 +08:00 via Android
    @fetich
    好的,我去学习一下
    also24
        5
    also24  
       2019-10-28 11:48:33 +08:00
    @whoami9894 #3
    用户是怎样用你的开发者帐号登录进开发者工具的?
    whoami9894
        6
    whoami9894  
    OP
       2019-10-28 12:19:41 +08:00 via Android
    @also24
    我记得开发者工具有测试账号啊,不知道获取的 code 是不是有效
    also24
        7
    also24  
       2019-10-28 15:38:03 +08:00   ❤️ 1
    @whoami9894 #6
    他就算有开发者工具,如何进入你的开发组?
    测试帐号的 appid 和你的帐号又不是同一个,code 自然不能通用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3102 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:46 · PVG 18:46 · LAX 02:46 · JFK 05:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.