qw11234hanqing@163.com
qw11234hanqing@163.com
  • 发布:2018-08-16 14:13
  • 更新:2020-01-02 17:52
  • 阅读:4393

【报Bug】oauth授权登录plus.oauth.AuthService.login()存在安全漏洞,泄露appscret

分类:HTML5+

详细问题描述
[内容]
plus.oauth.AuthService.login() 该方法还是有安全漏洞的,因为是APP端调用的,通过抓包工具获取到了https请求下的appsecret(我们安全部门已经提出该漏洞)。
微信官方推荐的是1.通过微信授权获取code,2. 将code传递给我们自己的服务器,服务器来通过code+appid+appsecret获取用户信息的,但是授权登录只能通过plus.oauth.AuthService.login()的方式一步完成,但是针对此种情况有没有解决办法,急求!!

2018-08-16 14:13 负责人:无 分享
已邀请:

最佳回复

DCloud_App_Array

DCloud_App_Array

  • danielcheng2008@qq.com

    需要官方效率提升下。不然再好的框架也会被淘汰掉

    2018-09-15 14:03

  • 361801580@qq.com

    请问现在提供这个方法没?

    2018-10-04 20:49

  • qw11234hanqing@163.com (作者)

    新版本已经查看到了更新(Hbuilder版本9.1.25.201810101806,修复 微信登录授权可能存在的安全隐患,补充authorize方法获取授权code避免泄露appsecret数据)

    2018-10-16 09:45

  • 366836631@qq.com

    我想问问有谁用这个方法获取到code的

    2018-10-22 16:20

  • 奔跑的牛掰

    回复 366836631@qq.com: 看我楼下回复的代码

    2019-07-30 23:35

  • 504894084@qq.com

    你好 我想请问下为什么使用authorize方法时,用户点了同意授权过后,会偶发出现{"code":-2,"message":"用户取消"}这种情况

    2019-10-30 14:08

  • 13341026748@163.com

    官方:QQ登录授权如何获取code

    2019-12-18 16:04

  • __gaoshan__

    当没有安装客户端的时候,不是说会跳转到三方的登录网页吗?为什么会返回 -8 没有安装客户端

    2020-08-04 09:50

奔跑的牛掰

奔跑的牛掰

// #ifdef APP-PLUS  
    wechatLogin() {  
        let _self = this;  
        plus.oauth.getServices(function(services) {  
            let auths = services;  
            let aweixin = auths[0];  
            if (!aweixin.authResult) {  
                aweixin.authorize(function(e) {  
                    console.log(e.code);//app端获取到的code  
                }, function(e) {  
                    uni.showToast({  
                        title: '微信授权失败',  
                        icon: 'none'  
                    })  
                }, {  
                    scope: 'snsapi_userinfo',  
                    state: '123'  
                });  
            } else {  
                uni.showToast({  
                    title: '已授权',  
                    icon: 'none'  
                })  
            }  
        }, function(e) {  
            plus.nativeUI.alert("获取登录授权服务列表失败:" + JSON.stringify(e));  
        });  
    },  
    // #endif
544902375@qq.com

544902375@qq.com

微信还没有弹出授权,只是闪了一下,就获取信息怎么办?

  • 936868734@qq.com

    应该是最近同意过授权了。

    2018-12-08 22:23

  • 544902375@qq.com

    可是我调用注销了,它还是弹不出来.

    2018-12-10 09:03

  • 1592160155@qq.com

    请问你解决了么 我也是这样 qq登录可以正常弹出授权 但是微信登录只是闪一下就没了 有调用注销也不行

    2020-06-04 09:46

379910515@qq.com

379910515@qq.com

现在解决了吗?

  • qw11234hanqing@163.com (作者)

    试了下文档里面的authorize方法,调用后提示‘undefined is not a function (near '...auth.authorize...')’,应该是还没开放出来

    2018-09-30 13:06

  • qw11234hanqing@163.com (作者)

    新版本已经查看到了更新(Hbuilder版本9.1.25.201810101806,修复 微信登录授权可能存在的安全隐患,补充authorize方法获取授权code避免泄露appsecret数据)

    2018-10-16 09:45

老向

老向

终于要来了!提了几次也没人回复过!

EJ

EJ

希望官方把这个优先级提高

1052036428@qq.com

1052036428@qq.com

请问你解决了吗?不填appsecret是否可以调用微信登陆

要回复问题请先登录注册