微信公众平台开发教程（七）安全策略 - 停留的风 - 博客园
posts - 233, comments - 1221, trackbacks - 5, articles - 27
微信公众平台开发教程（七）安全策略
&尽管处理微信请求的服务器，处于微信服务器的后端，但是安全问题依然不可小觑。
大概总结以下几个方面，希望引起注意。&
一、设置高复杂度的Token，尽量隐藏服务地址URL&
URL：即为处理微信请求的链接地址Token：用户身份凭证&
申请成为开发者或者修改URL\Token时，微信会通过Get请求访问URL，验证签名，其中需要Token。&
过程相当于一次握手，如果握手成功，可进行后续的通信。
成为开发者后，我们也可以进行修改
&面临的危险：&
1、如URL和Token被破解，直接链接到其他公众账号，直接可以盗用服务。当然对于一些广告类型账号而言，这样无利可图。但是，如果是提供某种应用或者服务的公众账号，免费给其他账号提供服务，势必增加服务端压力，带来一定的风险。
2、如果URL被破解，即使token没被破解。一些不法分子，可能对该URL进行攻击，当然枪打出头鸟，想被黑客盯上也不没那么容易。呵呵&
1、尽量保证服务的URL，与提供消息或者网页没有直接关系。以防止，根据URL推算得出服务URL。
2、可以使用URL重定向，将一些路径信息进行隐藏。
3、在服务中判定请求的来源，是否是微信服务器来的请求。这个可以根据请求的URL来进行判定，对于其他请求不予处理。
4、Token值，尽量复杂一些。&
二、建议每次请求，都进行签名验证
在设置URL或token后，微信都会提交get请求，来访问我们后端服务。验证通过之后，微信其他请求都是通过POST方式提交。
所以在代码中，我们常常会根据请求的方式来判断是否进行签名验证。在之前的例子中，也曾这么用：
/// &summary&
/// 处理请求，产生响应
/// &/summary&
/// &returns&&/returns&
public string Response()
string method = Request.HttpMethod.ToUpper();
//验证签名
if (method == "GET")
if (CheckSignature())
return Request.QueryString[ECHOSTR];
return "error";
//处理消息
if (method == "POST")
return ResponseMsg();
return "无法处理";
尽管微信其他请求是以POST提交的，但是其URL中同样携带了签名信息，我们同样需要进行签名认证。所以为了安全起见，建议每次请求都进行签名认证。
根据这个原理，我们将代码修改如下：&
/// &summary&
/// 处理请求，产生响应
/// &/summary&
/// &returns&&/returns&
public string Response()
string method = Request.HttpMethod.ToUpper();
//验证签名
if (method == "GET")
if (CheckSignature())
return Request.QueryString[ECHOSTR];
return "error";
//处理消息
if (method == "POST")
//验证签名
if (CheckSignature())
return ResponseMsg();
return "无法处理";
签名算法CheckSignature()，这里不再赘述，具体可见：&
三、可以根据ToUserName&验证请求
通常我们的公众账号都对应一个openId，在处理消息时可以获得。这个openId是固定的，可以根据其判定发送者的身份信息。这种方式，可以很好的过滤无效消息或者欺骗，只有发给我的消息，我才处理。即使URL和Token被人破解，也同样能够保证后端服务，只为我们的公众账号提供服务。
/// &summary&
/// 是否是发给我的呢
/// &/summary&
/// &param name="toUserName"&接受者&/param&
/// &returns&bool&/returns&
private bool IsSentToMe(string toUserName)
return string.Equals(toUserName,Context.OpenID,StringComparison.OrdinalIgnoreCase);
四、AppId和AppSecret
如果是服务号，还有一些高级功能，而这些高级功能需要开发者凭据：AppId和AppSecret。
根据AppId和AppSecret可以获得ACCESS_TOKEN，根据ACCESS_TOKEN就可以管理高级功能了，比如：自定义菜单。ACESS_TOKEN有过期时间，通常为7200S。但是AppId和AppSecret是系统随机生成的，无过期时间，如果需要修改，需要登录微信公众账号管理平台进行重置。&
获取Access_Token方式，通过Get请求如下URL
https://api./cgi-bin/token?grant_type=client_credential&appid=xxxx&secret=xxxx.
&获取Access_Token后，就可以操作一些高级接口
创建自定义菜单，是通过http请求方式：POST（请使用https协议）
https://api./cgi-bin/menu/create?access_token=ACCESS_TOKEN
&具体实现，见：
ACCESS_TOKEN是通过get方法获得的，其实不太安全，如果被人窃取，其可以修改自定义菜单的链接，可以将其改为一些广告链接，或者更邪恶的链接，你这服务器直接成了人家的肉机。所以一定要保证服务器的安全。为了安全起见，建议隔一段时间重置AppId和AppSecret（微信公众平台的后台服务页面）。重要的还是要保证允许服务器的安全，具体可以见五。
五、保证服务器的安全
服务器安全要素很多，比如：保证网络安全、设置防火墙、安装杀毒软件、限制一些端口等等，这跟我们平时服务器安全要求一样，这方面资料很多，这里不再赘述。&查看: 7245|回复: 12
【求助】微信登录插件升级到1.0.6后一直显示正在加载
1、站点地址：
2、微信登录插件升级到1.0.6后，用微信扫描二维码进入微社区一直显示“正在加载”，从原先分享到朋友圈某个帖子的链接进入可以查看论坛及版块，但是没法进行发帖及回复操作。个人感觉可能是登录模块出现了问题，是否是服务器文件夹权限问题导致升级不完全所致，如何降低版本后重新升级一次。
3、如何重现该问题（产生问题的操作步骤）：扫描二维码进入论坛后问题出现。
qrcode_index.jpg (403 Bytes, 下载次数: 8)
10:48 上传
4、问题截图：
webwxgetmsgimg.jpg (17.72 KB, 下载次数: 6)
10:48 上传
自己顶一下
我的也是...
版主快来看看啊~~~着急ing~~~
检查发现，在检测微社区的时候，返回结果非 json 格式。楼主确认一下 discuz！打上了最新的补丁
我的也是啊。。。啥问题呀
检查发现，在检测微社区的时候，返回结果非 json 格式。楼主确认一下 discuz！打上了最新的补丁
更新到最新版了，打齐了补丁还是不行。
Powered by详细了解微信登录安全提醒
我的图书馆
详细了解微信登录安全提醒
详细了解微信登录安全提醒
1. 为什么会收到这个登录安全提醒？
收到这个提醒说明你的微信帐号正在另一个新的设备发起登录请求。
2. 我如何判断是否我本人操作？
请根据提示中的时间、设备信息辨别是否你本人的操作。
3. 我的帐号被成功登录了吗？
微信帐号在新设备登录时，即使密码/短信验证对了，还需要进行一项安全验证才能成功登上。
如果对方成功登录了，你在本设备的登录会被强制退出。如果没有被强制退出则说明对方没有成功登录。
4. 如果这不是我本人的操作，我应该怎么解除风险？
如果提示微信密码泄漏，请立刻在“我-设置-帐号与安全”修改微信密码。
如果提示QQ密码泄漏，请立刻前往修改QQ密码。
如果提示短信验证码泄漏，请检查短信验证码是否被转发或者手机被植入了木马导致短信被转发。
5. 密码/短信为什么会被泄漏？
密码泄漏一般有以下几种原因：
不同app/网站设置相同密码，当其中一个app/网站发生密码泄漏，那么坏人会通过泄漏的密码去尝试登录用户的各种帐号；
手机木马，手机被植入了木马导致短信验证码等重要信息被转发；
熟人知晓密码后盗号。
因此请养成良好的密码保护习惯：不要设置过于简单的密码，不同的app/网站不要共用密码。不要随便打开来路不明的链接慎防木马。
6. 改密后还是继续收到这样的提醒？
如果你的微信绑定了QQ，请把微信密码、QQ密码都修改一遍。如果还是收到这个提示可以检查下手机是否中了木马。
TA的最新馆藏[转]&[转]&}