这两天做app支付,采用了第三方支付beecloud突然想起了官方的demo是直接把生成order_string放在js里面了,个人觉得这样不妥.
支付一般来说是后端生成支付串(order_string),然后吐给前端去唤醒支付宝;官方的demo是直接把第三方beecloud的appid写在js的,这样有几个弊端,广大开发者可以留意一下:
1.h5+开发的app解压以后是可以看到js和html代码的,虽然有js混淆功能,但那不是真正意义的加密;
- 把生成支付串的方法放前端,别有用心的人可以通过解压你的app获取到你的appid,api请求地址,假如把这个放到后端去,那么只生成一个order_string,别人是不知道你用的原生支付宝接口还是第三方比如beecloud,(我再问一句,你敢把支付宝的加密方式放到前端去吗?同样的,为什么beecloud的加密方式就敢放到前端去)
- 订单金额等信息通过js来传入的,很容易被修改,会给运营带来麻烦;如果放到后端生成order_string,订单金额等信息是直接从数据库读取,别人是改不了的(虽然后台服务器可以在支付成功回调接口再对金额做一次判断,但这只是支付完成后的补救验证,不应该让错误信息去支付,并且最终也需要后台来验证,那为何不一开始就让后台验证好?)
- 官方作为demo为了方便演示,这是没问题的,广大开发者尽量使用后端生成order_string,比如我们用小程序的支付,也是通过后端生成的加密串再唤醒微信支付的.
- 后端我随时可以替换掉第三方支付,而不需要单独打包发布app让用户更新
作为一个严谨的程序员,有必要对每一个细节都关注,如果我说的不对的地方,欢迎大家和我一起交流.
我们公司对接了支付宝,微信,块钱,易宝,环迅等支付接口,所以对支付这块比较留意.
相互学习,共同进步!
uniapp视频教程 (作者)
哦哦,原来如此,那就好,我一直没有使用过,因为我自己用node混淆过,不会有冲突吧
2018-05-25 08:53
DCloud_heavensoft
回复 uniapp视频教程: 不影响
2018-05-25 12:57
回梦無痕
回复 uniapp视频教程:额,最好是自己先对JS混淆一次再勾选js混淆功能。。。打包选择原生混淆js还是很破解拿到明文的JS代码。
2018-05-26 20:48