q***@163.com
q***@163.com
  • 发布:2018-08-16 14:13
  • 更新:2020-01-02 17:52
  • 阅读:7079

【报Bug】oauth授权登录plus.oauth.AuthService.login()存在安全漏洞,泄露appscret

分类:HTML5+

详细问题描述
[内容]
plus.oauth.AuthService.login() 该方法还是有安全漏洞的,因为是APP端调用的,通过抓包工具获取到了https请求下的appsecret(我们安全部门已经提出该漏洞)。
微信官方推荐的是1.通过微信授权获取code,2. 将code传递给我们自己的服务器,服务器来通过code+appid+appsecret获取用户信息的,但是授权登录只能通过plus.oauth.AuthService.login()的方式一步完成,但是针对此种情况有没有解决办法,急求!!

2018-08-16 14:13 负责人:无 分享
已邀请:

最佳回复

DCloud_App_Array

DCloud_App_Array

  • d***@qq.com

    需要官方效率提升下。不然再好的框架也会被淘汰掉


    2018-09-15 14:03

  • 3***@qq.com

    请问现在提供这个方法没?


    2018-10-04 20:49

  • q***@163.com (作者)

    新版本已经查看到了更新(Hbuilder版本9.1.25.201810101806,修复 微信登录授权可能存在的安全隐患,补充authorize方法获取授权code避免泄露appsecret数据)


    2018-10-16 09:45

  • 3***@qq.com

    我想问问有谁用这个方法获取到code的


    2018-10-22 16:20

  • 奔跑的牛掰

    回复 3***@qq.com: 看我楼下回复的代码


    2019-07-30 23:35

  • 5***@qq.com

    你好 我想请问下为什么使用authorize方法时,用户点了同意授权过后,会偶发出现{"code":-2,"message":"用户取消"}这种情况


    2019-10-30 14:08

  • 1***@163.com

    官方:QQ登录授权如何获取code


    2019-12-18 16:04

  • __gaoshan__

    当没有安装客户端的时候,不是说会跳转到三方的登录网页吗?为什么会返回 -8 没有安装客户端


    2020-08-04 09:50

  • steven888

    Oauth代码中的动态设置appid 与 appsecret 不生效


    2021-04-17 14:59

奔跑的牛掰

奔跑的牛掰

// #ifdef APP-PLUS  
	wechatLogin() {  
		let _self = this;  
		plus.oauth.getServices(function(services) {  
			let auths = services;  
			let aweixin = auths[0];  
			if (!aweixin.authResult) {  
				aweixin.authorize(function(e) {  
					console.log(e.code);//app端获取到的code  
				}, function(e) {  
					uni.showToast({  
						title: '微信授权失败',  
						icon: 'none'  
					})  
				}, {  
					scope: 'snsapi_userinfo',  
					state: '123'  
				});  
			} else {  
				uni.showToast({  
					title: '已授权',  
					icon: 'none'  
				})  
			}  
		}, function(e) {  
			plus.nativeUI.alert("获取登录授权服务列表失败:" + JSON.stringify(e));  
		});  
	},  
	// #endif
5***@qq.com

5***@qq.com

微信还没有弹出授权,只是闪了一下,就获取信息怎么办?

  • 9***@qq.com

    应该是最近同意过授权了。


    2018-12-08 22:23

  • 5***@qq.com

    可是我调用注销了,它还是弹不出来.


    2018-12-10 09:03

  • 1***@qq.com

    请问你解决了么 我也是这样 qq登录可以正常弹出授权 但是微信登录只是闪一下就没了 有调用注销也不行


    2020-06-04 09:46

  • 陌上花不开

    请问你这个问题解决了嘛,我也是,调用注销了,还是弹不出来


    2020-10-05 11:26

3***@qq.com

3***@qq.com

现在解决了吗?

  • q***@163.com (作者)

    试了下文档里面的authorize方法,调用后提示‘undefined is not a function (near '...auth.authorize...')’,应该是还没开放出来


    2018-09-30 13:06

  • q***@163.com (作者)

    新版本已经查看到了更新(Hbuilder版本9.1.25.201810101806,修复 微信登录授权可能存在的安全隐患,补充authorize方法获取授权code避免泄露appsecret数据)


    2018-10-16 09:45

老向

老向

终于要来了!提了几次也没人回复过!

EJ

EJ

希望官方把这个优先级提高

1***@qq.com

1***@qq.com

请问你解决了吗?不填appsecret是否可以调用微信登陆

该问题目前已经被锁定, 无法添加新回复