快捷導(dǎo)航

微信小程序-API接口安全詳解

更新時(shí)間：2019年07月16日 11:28:32 作者：趙客縵胡纓v吳鉤霜雪明

這篇文章主要介紹了微信小程序-API接口安全詳解,文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下

一.接口安全的必要性

最近我們公司的小程序要上線了，但是小程序端是外包負(fù)責(zé)的，我們負(fù)責(zé)提供后端接口。這就可能會(huì)造成接口安全問題。一些別有用心的人可以通過抓包或者其他方式即可獲得到后臺(tái)接口信息，如果不做權(quán)限校驗(yàn)，他們就可以隨意調(diào)用后臺(tái)接口，進(jìn)行數(shù)據(jù)的篡改和服務(wù)器的攻擊，會(huì)對(duì)一個(gè)企業(yè)造成很嚴(yán)重的影響。

因此，為了防止惡意調(diào)用，后臺(tái)接口的防護(hù)和權(quán)限校驗(yàn)非常重要。

雖然小程序有HTTPs和微信保駕護(hù)航，但是還是要加強(qiáng)安全意識(shí)，對(duì)后端接口進(jìn)行安全防護(hù)和權(quán)限校驗(yàn)。

二.小程序接口防護(hù)

小程序的登錄過程：

小程序端通過wx.login()獲取到code后發(fā)送給后臺(tái)服務(wù)器
后臺(tái)服務(wù)器使用小程序的appid、appsecret和code，調(diào)用微信接口服務(wù)換取session_key和openid（openid可以理解為是每個(gè)用戶在該小程序的唯一識(shí)別號(hào)）
后臺(tái)服務(wù)器自定義生成一個(gè)3rd_session，用作openid和session_key的key值，后者作為value值，保存一份在后臺(tái)服務(wù)器或者redis或者mysql，同時(shí)向小程序端傳遞3rd_session
小程序端收到3rd_session后將其保存到本地緩存，如wx.setStorageSync(KEY,DATA)
后續(xù)小程序端發(fā)送請(qǐng)求至后臺(tái)服務(wù)器時(shí)均攜帶3rd_session，可將其放在header頭部或者body里
后臺(tái)服務(wù)器以3rd_session為key，在保證3rd_session未過期的情況下讀取出value值（即openid和session_key的組合值），通過openid判斷是哪個(gè)用戶發(fā)送的請(qǐng)求，再和發(fā)送過來的body值做對(duì)比（如有），無誤后調(diào)用后臺(tái)邏輯處理
返回業(yè)務(wù)數(shù)據(jù)至小程序端

會(huì)話密鑰session_key 是對(duì)用戶數(shù)據(jù)進(jìn)行加密簽名的密鑰。為了應(yīng)用自身的數(shù)據(jù)安全，開發(fā)者服務(wù)器不應(yīng)該把會(huì)話密鑰下發(fā)到小程序，也不應(yīng)該對(duì)外提供這個(gè)密鑰。

session_key主要用于wx.getUserInfo接口數(shù)據(jù)的加解密，如下圖所示：

sessionId

在微信小程序開發(fā)中，由wx.request()發(fā)起的每次請(qǐng)求對(duì)于服務(wù)端來說都是不同的一次會(huì)話。啥意思呢？就是說區(qū)別于瀏覽器，小程序每一次請(qǐng)求都相當(dāng)于用不同的瀏覽器發(fā)的。即不同的請(qǐng)求之間的sessionId不一樣（實(shí)際上小程序cookie沒有攜帶sessionId）。

如下圖所示：

實(shí)際上小程序的每次wx.request()請(qǐng)求中沒有包含cookie信息，即沒有sessionId信息。

但是我們可以在每次wx.request()中的header里增加。

接口防護(hù)方法

使用HTTPS防止抓包，使用https至少會(huì)給破解者在抓包的時(shí)候提高一些難度
接口參數(shù)的加密，通過md5加密數(shù)據(jù)+時(shí)間戳+隨機(jī)字符串（salt），然后將MD5加密的數(shù)據(jù)和時(shí)間戳、原數(shù)據(jù)均傳到后臺(tái)，后臺(tái)規(guī)定一個(gè)有效時(shí)長(zhǎng)，如果在該時(shí)長(zhǎng)內(nèi)，且解密后的數(shù)據(jù)與原數(shù)據(jù)一致，則認(rèn)為是正常請(qǐng)求；也可以采用aes/des之類的加密算法，還可以加入客戶端的本地信息作為判斷依據(jù)
本地加密混淆，以上提到的加解密數(shù)據(jù)和算法，不要直接放在本地代碼，因?yàn)楹苋菀妆环淳幾g和破解，建議放到獨(dú)立模塊中去，并且函數(shù)名稱越混淆越難讀越安全。
User-Agent 和 Referer 限制
api防護(hù)的登錄驗(yàn)證，包括設(shè)備驗(yàn)證和用戶驗(yàn)證，可以通過檢查session等方式來判斷用戶是否登錄
api的訪問次數(shù)限制，限制其每分鐘的api調(diào)用次數(shù)，可以通過session或者ip來做限制
定期監(jiān)測(cè)，檢查日志，偵查異常的接口訪問