热门标签
热门文章
- 1Redis Scan的使用方式以及Spring redis的坑_scanoptionsbuilder is not public
- 2Python自然语言处理(NLP)库之spacy使用详解_spacy库怎么使用
- 3【机器学习】—机器学习和NLP预训练模型探索之旅_机器训练和语言模型
- 42023年全国青少年信息素养大赛(Python)海南赛区复赛真题,包含答案_2023大湾取青少年信息学创新大赛python语言试题 高中组真题
- 5Cv图像处理_cv图像扫的像麻花
- 6【问题】python从excel读取的数据为数字时,自动加上.0转化为浮点型的解决【2022年2月5日】_pandas读取excel数字格式的列怎么自动加了.0
- 7ElementUI简介_element ui
- 8android自定义的RadioButton_android extends radiobutton
- 9软件行业几乎全军覆没?拼多多太炸裂了_中国软件行业几乎全军覆没
- 10【MySQL系列】索引的学习及理解
当前位置: article > 正文
关于小程序session_key漏洞问题的解决2022-12-01_小程序存在 sessionkey 泄露
作者:小惠珠哦 | 2024-06-30 23:58:30
赞
踩
小程序存在 sessionkey 泄露
业务背景:开发了小程序,使用了一段时间以后,小程序提示系统漏洞session_key的问题,在网上找了好多的博客,感觉好多写的没那么清晰,更偏重于理论,导致自己走了很多的弯路,为了更方便快捷的解决问题,我整理了一下解决这个问题的方法,更偏向于实际,没有理论的东西在里面,代码都写了注释,更便于阅读。
下面是官网的提示信息链接:
https://developers.weixin.qq.com/community/minihome/doc/000806202400280b0edd5866156c01?blockType=99&pass_ticket=evb7v4LC5Bza6jlRLzxsRqlC824r61rZJfB%2F9ae0PyrgbDgWUHRY1HRH%2FZ%2B65aKH
- 1
问题复现:现在是session_key暴漏在返回的参数中
修改后,从后端返回的参数如下;只有手机号码和appid,已经把session_key去掉了
原来获取session_key的方法
getPhoneNumber(e) { if (e.detail.errMsg == "getPhoneNumber:ok") { //点击了“允许”按钮, //获取用户openid wx.request({ //这里的this.data.loginCode 是从wx.login中获取的 url: 'https://localhost:8080/getweixinweixin/getOpenId?code=' + this.data.loginCode, method: 'POST', success: res => { //解密获取手机号,从后端获取的openid this.data.openId = res.data.openid //从后端获取的session_key this.data.sessionKey = res.data.session_key //根据session_key加密 var pc = new WXBizDataCrypt(this.data.appId, res.data.session_key) //解密 var phoneData = pc.decryptData(e.detail.encryptedData, e.detail.iv) if (phoneData != null && phoneData != '') { wx.setStorageSync('phone', phoneData.phoneNumber) this.setData({ phone: phoneData.phoneNumber }) } } })
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
上面的code(this.data.loginCode,)是从下面的方法中获取的
//登录
wx.login({
success: res => {
this.data.loginCode = res.code
}
})
- 1
- 2
- 3
- 4
- 5
- 6
上面的这种方式,会把session_key暴漏在浏览器上面,所以下面是优化的方法,我们不在后端传session_key了,调用新的接口,这个接口中会返回手机号码和appid
现在获取appid和phone的方法,不获取session_key的方法
wx.login这个方法也可以删除了
getPhoneNumber(e) {
if (e.detail.errMsg == "getPhoneNumber:ok") { //点击了“允许”按钮,
//获取用户openid
wx.request({
url: 'http://localhost:8080/getweixin/getOpenId?code=' + e.detail.code,
method: 'POST',
success: res => {
wx.setStorageSync('phone', res.data.phoneNumber)
this.setData({
phone: res.data.phoneNumber
})
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
后台调用新接口的方法,可以参考,
第一步:先调用token的接口,获取token
第二步:用获取的token信息和code,调用第二个接口,获取手机号码和appid
接口地址:
//获取token的接口,APPID和APPSECRET需要申请
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET
//获取手机号码和aiipId接口,需要传入token和code
https://api.weixin.qq.com/wxa/business/getuserphonenumber?access_token=
- 1
- 2
- 3
- 4
后台Java代码调用示例;可以直接用的那种
/** *小程序获取手机号码和appid */ @PostMapping("/getOpenId") public Map getOpenId(@RequestParam(value = "code", required = false) String code) { String accessTokenUrl = WeixinConstants.accessTokenUrl.replace("APPID", appId).replace("APPSECRET", appSecret); String response_token = HttpRequest.get(accessTokenUrl).timeout(60000).execute().body(); JSONObject token = JSON.parseObject(response_token); // 获取token String url = WeixinConstants.new_openIdUrl + token.getString("access_token"); // Map<String, String> paramMap = new HashMap<>(); paramMap.put("code", code); HttpHeaders headers = new HttpHeaders(); HttpEntity<Map<String, String>> httpEntity = new HttpEntity<>(paramMap, headers); // String response = restTemplate.postForEntity(url, httpEntity, String.class).getBody(); // String return_openid = ""; String phoneNumber = ""; JSONObject json_data= new JSONObject(); //判断返回值 if(response != null && !"".equals(response)) { // JSONObject jsonObject = JSONObject.parseObject(response); // 获取第一层的数据 JSONObject first_data = jsonObject.getJSONObject("phone_info"); //获取第二层的数据 String phone_number = first_data.get("phoneNumber").toString(); json_data.put("phoneNumber",phone_number); // //获取第二层的watermark数据 JSONObject watermark = first_data.getJSONObject("watermark"); //测试获取第三层的数据 String appid = watermark.get("appid").toString(); json_data.put("appid",appid); } //处理返回的格式 Map map = JSON.parseObject(json_data.toString() ,Map.class); return map; }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
需要在pom.xml中引入下面的jar包
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<!--<version>5.0.3</version>-->
<version>5.7.7</version>
</dependency>
- 1
- 2
- 3
- 4
- 5
- 6
暂时梳理这些:有问题欢迎留言交流
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小惠珠哦/article/detail/774436
推荐阅读
相关标签
