微信要求服务端的接口使用https协议用于响应小程序的请求。
而小程序的前端代码已被发现 可轻松反编译,相当于https接口是暴露的,服务端无法验证https接口的请求是来自于自己的小程序,还是其他冒用的小程序或网页。
所以https对接口的保护没有任何作用咯?所以https只是用于保护数据在传输过程中的安全性。
使用https协议,只能保证服务端和张三通信时,李四不知道服务端和张三聊了什么。如果李四冒充张三和服务端通信,服务端根本无法辨别他是不是张三。李四也可以直接以李四的身份与服务端通信。这样理解,对吧?
额,你认为的对接口保护是包含哪些呢?保护用户不被 dns劫持到第三方,保护用户请求的数据再传输中不被篡改,保护用户请求到正确的服务器,这些也算是保护接口啊.
一般使用的 https只是客户端验证你请求的不是伪造的服务器.而服务器认为你都是客户,程序无法识别你定义的自然人,后端程序也仅仅是通过客户的 token 来识别是谁的,就算是你后端的业务逻辑,也不知道用户是否是盗用他人的 token 来请求的啊.
2.1m questions
2.1m answers
63 comments
56.5k users
