这是一个创建于 2772 天前的主题,其中的信息可能已经有所发展或是发生改变。
打算做个小程序,所以用 Flask 写了后端 API,现在的问题是这个 API 没有加入任何的验证信息。只要知道 API 的连接构造,每个人都可以请求 API,然后修改后台的数据。
因为我的数据都是会在小程序都请求,所以现在的想法就是能不能在微信用户初次给我小程序授权的时候,利用 unionid 生成一个初始的密码,并且利用 unionid+密码生成一个 taken,以后用户每次请求数据的时候,就通过用户的 unionid 和 taken 进行鉴权。
不知道这样是否可行?另外想着到目前给微信小程序使用的 API 常用的处理是怎样的?
小白用户,希望大家可以指点一下,谢谢!
 | 1 silhouette 2018 年 6 月 18 日 via Android token 不是 taken 哦 |
 | 2 rb6221 2018 年 6 月 18 日 via Android 后端自己支持一下 token 验证不行么 |
 | 3 hunk 2018 年 6 月 18 日 了解下 JWT 登录。 返回 token,保存为 cookie. |
 | 4 shilielin OP @silhouette 嗯,写错了 |
 | 6 stonehe 2018 年 6 月 18 日 flask-httpauth 这么方便简单的库为什么不拿来用 |
 | 7 woscaizi 2018 年 6 月 18 日 via iPhone 直接在服务端验证 unionId,openId 是否存在,最简单的办法吧。 |
 | 8 zhuangzhuang1988 2018 年 6 月 18 日 用 django-rest-framework 自己搞认证啥,api 限制啥的瞎折腾 不然直接用标准的 |
 | 9 KgM4gLtF0shViDH3 2018 年 6 月 18 日 小程序的代码别人拿不到,不知道 root 之后能不能拿到,如果别人拿不到的话可以在客户端存个 secret 然后和时间戳什么的加密成一个 token,请求的时候把 token 带上就能验证了。 |
| 10 shilielin OP @zhuangzhuang1988 嗯,我打算用现有的轮子,只是想知道目前大家是不是都是用 Web 和 app 一样的思路处理小程序的 API |
 | 11 wzw 2018 年 6 月 18 日 flask-restful 可以去看看 |
 | 12 geekcorn 2018 年 6 月 18 日 via iPhone 理论上通过微信授权流程链接获取的 unionid 或者 openid 是没法伪造的吧,直接数据库匹配数据就行了吧,不放心就加一层 jwt 认证,推荐 pyjwt 框架 |
 | 13 lcy630409 2018 年 6 月 19 日 想复杂了,就是把 session 替换成 token 前台在第一次联系后台的时候生成一个唯一 token,返回给前台,前台存在 cookie 里,每次请求的时候在 header 里带上这个 cookie 就行了 |
 | 16 ybark 2018 年 6 月 23 日 手机本地找到小程序代码包 wxapkg,通过 github 上有人写的反编译还原脚本(项目距发这条评论前 11 天还在更新)。理论上看,若真要有团队有时间去搞你的小程序,如果你没做特别的处理,小程序就是开源的。那么此时后端 api 带不带 token,就没区别了,整套代码跑起来,token 也能拿到,后面需要 token 的 api 也不用伪造请求。 |
Select Language