利用wx.login接口获取小程序code作为接口签名防恶意调用

原创 已于 2024-04-29 13:39:37 修改 · 883 阅读 · 4 ·
CC 4.0 BY-SA版权
Soujer
文章标签:

#小程序

于 2024-04-29 13:02:23 首次发布
本文介绍了如何通过小程序的wx.login接口获取code,并将其用于后端接口签名,以此来防止接口被恶意抓包调用,有效保护服务器资源。

头图

前言

小程序接口经常被人抓包调用!烦死了!这样极大的影响服务器资源,那么这个就可以解决你的烦恼!

小程序代码

const wxLogin = () => {
  return new Promise((reslove) => {
    wx.login({
      success(res) {
        reslove(res.code);
      } 
    })
  })
}
//调用代码
var code = await wxLogin();
//接口使用的时候可以直接"&sign="+code
wx.request({
            url: "https://域名/getYzm?sign=" +code,
            success: function (res) { //后端返回的数据
              var data = res.data;
                console.info(data);
               
        }
 })

后端代码


                

        

    



  


        

                

                  

                  

                  了解本专栏
                  
                  
                    
                  订阅专栏 解锁全文
                   
                

        


    



                



	

		

			

				
					
微信小程序跑脚本授权的问题,怎么才能脚本模拟小程序调用微信wx.login获取code,然后发送到小程序后台。

				
			

			

				

					**My Coding Family**
				

				

					01-11
					
					1181
					
				

			

		

		

			
				
你无法直接在 Python 脚本中模拟小程序中的wx.login,但可以通过请求微信的接口获取用户的openid,然后根据openid判断用户是否已经注册并返回token。希望如上措施及解决方案能够帮到有需要的你。PS:如若遇到采纳如下方案还是未解决的同学,希望不要抱怨&&急躁,毕竟影响因素众多,我写出来也是希望能够尽最大努力帮助到同类似问题的小伙伴,即把你未解决或者产生新Bug黏贴在评论区,我们大家一起来努力,一起帮你看看,可以不咯。

			
		

	



                

            
              



	

		

			

				
					
[608]微信小程序登陆流程

				
			

			

				

					周小董
				

				

					05-06
					
					598
					
				

			

		

		

			
				
调用接口获取登录凭证(code)。通过凭证进而换取用户登录态信息,包括用户在当前小程序的唯一标识(openid)、微信开放平台帐号下的唯一标识(unionid,若当前小程序已绑定到微信开放平台帐号)及本次登录的会话密钥(session_key)等。小程序可以通过微信官方提供的登录能力方便地获取微信提供的用户身份标识,快速建立小程序内的用户体系。当小程序在企业微信端运行时,需要通过对应的登录接口获取到当前企业微信用户在当前企业的员工身份信息。在小程序插件中使用时,需要在用户信息功能页中获得用户授权之后调用

			
		

	



              


  
              

                


	

		

			

				
					
我来图书馆小程序加密后抓包分析反编译抢位置

				
			

			

				

					动感超人的博客
				

				

					04-23
					
					1270
					
				

			

		

		

			
				
文章目录提交预约流程注意抓包分析有人可能最新微信PC抓不了小程序包解决办法2.0新变化预约信息加密解决反编译反编译后查看源代码计算生成预约js(nodejs下运行)代码提交预约代码运行
提交预约流程

注意

抓包分析好像还涉及到wxlib/wx/login 不过从后面提交数据来看好像用不到,可能我技术问题吧

抓包分析
有人可能最新微信PC抓不了小程序包
解决办法


打开一个任意小程序,打开任务管理器,找到进程。右键打开文件位置。


退出电脑微信,右键结束小程序进程。


找到这个目录后删除这个目录


			
		

	





	

		

			

				
					
微信ipad协议,微信开发API接口

				
			

			

				

					webot123456的博客
				

				

					04-30
					
					2164
					
				

			

		

		

			
				
最近公司需求开发一套自定义的微信机器人,需求是可以自动聊天,自动回复,发朋友圈,转发语音,以及自动添加好友等,还可以取聊天内容保存自己数据库里,what ????微信还能这么玩????调研开发了3个月,3个月啊!!!(主要被各种技术走偏路),终于得到以下知识,都是走过的心酸泪,大家开发完成,记得给我点个赞!!!
大家一般需求点无非是以下几个需求:

1.开发个人微信营销系统
2.开发自定义的微信机器人,
3.开发微信智能聊天客服系统
4.定制行业内的群数据分析

功能需求很简单,业务代码贼好撸,但是如何和微

			
		

	



		

			
		



	

		

			

				
					
wx.login 接口获得临时登录凭证 code,服务端验证code生成Token

				
			

			

				

					华山论码
				

				

					12-07
					
					7613
					
				

			

		

		

			
				
调用接口获取登录凭证(code)。通过凭证进而换取用户登录态信息,包括用户在当前小程序的唯一标识(openid)、微信开放平台账号下的唯一标识(unionid,若当前小程序已绑定到微信开放平台账号)及本次登录的会话密钥(session_key)等。用户数据的加解密通讯需要依赖会话密钥完成。项目服务器端需要整合appid+appsecret+code三个信息,去微信服务器端换取session_key和openid,所以说我们需要一个微信服务区的接口

			
		

	





	

		

			

				
					
【微信小程序wx.login实现用户登录

				
			

			

				

					qq_54639969的博客
				

				

					09-02
					
					2万+
					
				

			

		

		

			
				
之前用手机号授权的方式实现登录,现在重新整理成笔记。

			
		

	





	

		

			

				
					
微信小程序获取循环元素id以及wx.login登录操作

				
			

			

				

					08-29
				

			

		

		

			
				
微信小程序获取循环元素id以及wx.login登录操作  微信小程序获取循环元素id是指在小程序中通过wx:for指令循环渲染元素,并获取每个元素的id,以便在后续操作中使用。同时,wx.login登录操作是小程序中用户登录的主要...

			
		

	





	

		

			

				
					
【微信小程序wx.loginwx.getUserProfile 同时使用问题

				
			

			

				

					Jessieeeeeee的博客
				

				

					08-14
					
					3678
					
				

			

		

		

			
				
场景
在使用微信登录时,通常会在调用 wx.login 获取 code 后再通过 wx.getUserProfile 获取 iv 和 encryptedData (加密数据)一起发到后端进行登录验证;
但是,在实际使用中如果在 wx.login 方法调用后再调用 wx.getUserProfile 会报错;
官方解释

也就是说,不能在调用方法的回调中使用 wx.getUserProfule();
解决方法
使用Promise.all()方法实现平级调用;

Promise.all() 方法接收一个 pro

			
		

	





	

		

			

				
					
微信小程序-微信登录wx.login(Thinkphp后端代码)

				
			

			

				

					Hillbox
				

				

					08-15
					
					1万+
					
				

			

		

		

			
				
流程

主要通过微信登录,获取用户的三个信息:user_id(用户id),user_image(用户头像url),user_name(用户昵称)。

1、首次登录:

    调用wx.login获取codecode发送给后台获取openid并存到用户表中,将返回user_id存到内存中。然后跳转到授权页面,当用户允许授权时,通过agreeGetUser方法获取到微信用户的信息保存到用户表中,并...

			
		

	





	

		

			

				
					
微信小程序 wx.login解密出现乱码的问题解决办法

				
			

			

				

					08-31
				

			

		

		

			
				
主要介绍了微信小程序 wx.login解密出现乱码的问题解决办法的相关资料,需要的朋友可以参考下

			
		

	





	

		

			

				
					
wx.login返回Object{code:“the code“ errMsg:“login:ok“}可能原因

				
			

			

				

					m0_64763698的博客
				

				

					07-04
					
					584
					
				

			

		

		

			
				
因为我的项目是别人的,所以我用我自己的小程序id就导致了这个问题,后面换成原来的小程序id就可以了。获取APPId(小程序id)。

			
		

	





	

		

			

				
					
微信登录wx.login() 梳理流程,具体操作,使用场景

					
最新发布

				
			

			

				

					C18298182575的博客
				

				

					07-07
					
					1387
					
				

			

		

		

			
				
微信服务器开发者服务器小程序微信服务器开发者服务器小程序1. wx.login() 获取code返回临时code(5分钟有效期)2. 发送code + 用户数据(可选)3. code + appid + secret4. 返回openid + session_key5. 返回自定义登录态(如token)code: this.data.loginCode, // wx.logincode。console.log('临时登录凭证:', res.code);// 发送code到开发者服务器。

			
		

	





	

		

			

				
					
【微信小程序】通过wx.login获取用户唯一凭证openId

				
			

			

				

					'Ablaze 的专栏
				

				

					05-20
					
					4万+
					
				

			

		

		

			
				
  小程序的开发者密码(AppSecret)是一个非常重要的字段,使用该密码可以调用小程序的所有后台接口。请不要将该字段放置在微信小程序的前端代码中,因为微信手机客户端容易被反编译并轻松获得Appsecret,造成重大的安全威胁。开发者应将Appsecret保存到后台服务器中,通过服务器使用Appsecert获取Accesstoken。微信公众平台小程序后台的服务器地址设置也将禁止将“api.we...

			
		

	





	

		

			

				
					
微信小程序之授权登录(附完整源码)

					
热门推荐

				
			

			

				

					weidong_y的博客
				

				

					03-21
					
					24万+
					
				

			

		

		

			
				
个人博客上已经同步更新了文章,有目录索引,阅读起来比较方便,欢迎大家移步个人博客上读阅~

个人博客地址:http://zwd596257180.gitee.io/blog/2019/04/15/wechat_applet_login/

                    微信小程序之授权登录



一、前言

由于微信官方修改了 getUserIn...

			
		

	





	

		

			

				
					
微信网页版抓包登录

				
			

			

				

					weixin_30603633的博客
				

				

					09-11
					
					2156
					
				

			

		

		

			
				
大概写一下步骤,以供查验,有不合理的地方请及时指正。
1. 根据https://login.weixin.qq.com/jslogin?appid=【appid】获取到UUID。
2. 根据https://login.weixin.qq.com/qrcode/【uuid】获取到二维码图片。
3. 定时刷新https://login.weixin.qq.com/cgi-bin/mmwebwx-...

			
		

	





	

		

			

				
					
小程序怎么获取Code

				
			

			

				

					u012951308的博客
				

				

					02-27
					
					6896
					
				

			

		

		

			
				
通过调用wx.login()官方函数获取通过打开电脑版微信小程序利用Fd抓包获取通过读取微信内存来实现Code的读取1.通过调用wx.login()官方函数获取

			
		

	





	

		

			

				
					
微信小程序Code获取

				
			

			

				

					u012951308的博客
				

				

					08-17
					
					4538
					
				

			

		

		

			
				
1.官方开发文档  wx.login 可以获取code
2.微信PC端内存HOOK获取小程序Code
3.抓PC包
{
微信小程序基本都是基于HTTPS的,在开发调试小程序时,普通的抓包软件是抓不到的,所以我们想要抓包首先需要配置证书 SSL
推荐软件 fiddler 或 Charles
1.fiddler配置抓取Https包
1.下载最新版fiddler
2.下载并安装Fiddler证书生成器
3打开Fiddler,点击工具栏中的Tools—>Options
4.点击https设置选项,勾选选择项


			
		

	





	

		

			

				
					
调用wx.login获取code

				
			

			

				

					03-08
				

			

		

		

			
				
### 如何使用微信小程序 `wx.login` API 获取 Code

为了利用微信小程序中的 `wx.login()` 接口获取用户的临时登录凭证(code),需遵循特定流程。该过程涉及调用 `wx.login()` 方法,并处理其响应以提取 code 值。

#### 调用 wx.login()

当应用程序需要发起用户登录请求时,可以通过如下方式调用 `wx.login()`:

```javascript
// 小程序调用 wx.login()
wx.login({
  success(res) {
    if (res.code) {
      console.log('Login successful, received code:', res.code);
      
      // 此处可继续向服务器发送 code 进行下一步操作
      
    } else {
      console.error('Failed to get login code');
    }
  },
  fail(err) {
    console.error('Login failed:', err);
  }
});
```

上述代码展示了如何通过 `success` 回调函数接收来自微信服务器的 response 对象,其中包含了所需的 code[^2]。

一旦获得了有效的 code 后,则可以根据业务逻辑进一步处理,比如将其传递给后台服务端完成最终的身份验证或信息交换工作[^3]。

#### 完整示例:从前端到后端交互

考虑到实际应用场景中通常还需要与后端配合才能真正实现完整的登录功能,在这里提供了一个从前端收集 code 并提交至指定 URL 的例子:

```javascript
const app = getApp();

function fetchCodeAndSendToServer() {
  wx.login({
    success(loginRes) {
      if (!loginRes.code) return;

      const url = `${rqcfg.domin}/onLogin`; // 使用预定义的服务地址配置
      wx.request({
        url,
        method: 'POST',
        data: { 
          js_code: loginRes.code,
          grant_type: 'authorization_code'
        },
        header: {'content-type': 'application/json'},
        success(serverResponse){
          // 处理从服务器返回的数据...
          console.log('Received server response:', serverResponse.data);
        },
        fail(error){
          console.error('Error occurred while sending request:', error);
        }
      });
    }
  });
}
```

这段脚本不仅实现了基本的 `wx.login()` 调用来取得 code,还示范了怎样构建一个 HTTP 请求将此 code 发送到远程服务器上进行解析和认证[^4]。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Soujer

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值