详细问题描述
[内容]
plus.oauth.AuthService.login() 该方法还是有安全漏洞的,因为是APP端调用的,通过抓包工具获取到了https请求下的appsecret(我们安全部门已经提出该漏洞)。
微信官方推荐的是1.通过微信授权获取code,2. 将code传递给我们自己的服务器,服务器来通过code+appid+appsecret获取用户信息的,但是授权登录只能通过plus.oauth.AuthService.login()的方式一步完成,但是针对此种情况有没有解决办法,急求!!
q***@163.com
- 发布:2018-08-16 14:13
- 更新:2020-01-02 17:52
- 阅读:7549
最佳回复
// #ifdef APP-PLUS
wechatLogin() {
let _self = this;
plus.oauth.getServices(function(services) {
let auths = services;
let aweixin = auths[0];
if (!aweixin.authResult) {
aweixin.authorize(function(e) {
console.log(e.code);//app端获取到的code
}, function(e) {
uni.showToast({
title: '微信授权失败',
icon: 'none'
})
}, {
scope: 'snsapi_userinfo',
state: '123'
});
} else {
uni.showToast({
title: '已授权',
icon: 'none'
})
}
}, function(e) {
plus.nativeUI.alert("获取登录授权服务列表失败:" + JSON.stringify(e));
});
},
// #endif
现在解决了吗?
-
q***@163.com (作者)
试了下文档里面的authorize方法,调用后提示‘undefined is not a function (near '...auth.authorize...')’,应该是还没开放出来
2018-09-30 13:06
-
q***@163.com (作者)
新版本已经查看到了更新(Hbuilder版本9.1.25.201810101806,修复 微信登录授权可能存在的安全隐患,补充authorize方法获取授权code避免泄露appsecret数据)
2018-10-16 09:45
d***@qq.com
需要官方效率提升下。不然再好的框架也会被淘汰掉
2018-09-15 14:03
3***@qq.com
请问现在提供这个方法没?
2018-10-04 20:49
q***@163.com (作者)
新版本已经查看到了更新(Hbuilder版本9.1.25.201810101806,修复 微信登录授权可能存在的安全隐患,补充authorize方法获取授权code避免泄露appsecret数据)
2018-10-16 09:45
3***@qq.com
我想问问有谁用这个方法获取到code的
2018-10-22 16:20
奔跑的牛掰
回复 3***@qq.com: 看我楼下回复的代码
2019-07-30 23:35
5***@qq.com
你好 我想请问下为什么使用authorize方法时,用户点了同意授权过后,会偶发出现{"code":-2,"message":"用户取消"}这种情况
2019-10-30 14:08
1***@163.com
官方:QQ登录授权如何获取code
2019-12-18 16:04
__gaoshan__
当没有安装客户端的时候,不是说会跳转到三方的登录网页吗?为什么会返回 -8 没有安装客户端
2020-08-04 09:50
steven888
Oauth代码中的动态设置appid 与 appsecret 不生效
2021-04-17 14:59