APP项目中使用了微信登录、微信支付等功能,然后使用HBuilder对Android进行云打包(对js代码混淆)生成apk文件,但是反编译拿到AndroidManifest.xml,发现WX_SECRET是明文显示。
有什么解决方案,可以避免WX_SECRET等信息泄露?
q***@163.com
- 发布:2018-08-13 15:10
- 更新:2018-08-14 13:00
- 阅读:2267
q***@163.com (作者)
解决办法:
- manifest.json对应的微信登录配置,appsecret随便配置一个
- 因为只有在登录授权的时候,才会使用appsecret,所以登录授权的时候动态更改appscret,如下:
plus.oauth.AuthService.login()第三个参数AuthOptionss.login( function(e){ alert( "登录认证成功!" ); }, function(e){ alert( "登录认证失败!" ); }, {appsecret:"xxxxxxxx" // 真实微信的appsecret} );
q***@163.com (作者)
感谢已经修改成功!确认只有登录授权的时候才会用的appsecret字段
2018-08-14 12:53
q***@163.com (作者)
plus.oauth.AuthService.login() 该方法还是有安全漏洞的,因为是APP端调用的,通过抓包工具获取到了https请求下的appsecret(我们安全部门已经提出该漏洞),微信官方推荐的是1.通过微信授权获取code,传递给我们自己的服务器,服务器来通过code+appid+appsecret获取用户信息的,针对此种情况有没有解决办法,急求!!
2018-08-16 14:10
q***@163.com (作者)
http://ask.dcloud.net.cn/question/58094?column=log&rf=false 安全漏洞求解决
2018-08-16 14:15