微信openid认证安全?

IdleMan 发布于 2017/09/26 15:03
阅读 818
收藏 0

场景

  用户关注公众号,访问菜单中功能利用身份证号绑定了系统用户id。

openid----(身份证)--userid

绑定后, 用户点击任意查询页面,获取到openid(oauth方式获取),通过openid可以展示该userid下所有内容。

问题

  如何避免别人伪造openid查询该openid对应的userid内容?菜单中的URL有法设置签名参数?

加载中
0
湖水没了
湖水没了

openid是你的服务器端程序请求微信服务器获得的,你说说怎么伪造

祺爸PiscDong
祺爸PiscDong
回复 @IdleMan : 也不知是我眼睛有问题,还是你理解有问题,我从头看到尾,也没看到有任何地方提到不同公众号,同一用户有相同的openid
IdleMan
IdleMan
https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842
祺爸PiscDong
祺爸PiscDong
回复 @IdleMan : 你这个是看的哪里的文档?我还第一次知道不同公众号,同一用户有相同的openid
IdleMan
IdleMan
官方文档说了不同公众号,相同用户的openid是相同的,相当于说其他公众号是知道已关注自己用户的openid。再说openid也可以暴力试探,虽然很难中
0
IdleMan
IdleMan

引用来自“kerneler”的评论

openid是你的服务器端程序请求微信服务器获得的,你说说怎么伪造

即如果开发者有在多个公众号,或在公众号、移动应用之间统一用户帐号的需求,需要前往微信开放平台(open.weixin.qq.com)绑定公众号后,才可利用UnionID机制来满足上述需求。

是说绑定了多个账号的才能认为满足:不同应用相同用户的openid相同?

返回顶部
顶部