微信小程序API相关知识科普,微信小程序 api接口安全

本文讲述了微信小程序API相关知识科普,微信小程序 api接口安全。

微信小程序API（Application Programming Interface），即应用程序编程接口。API是一种接口函数，把函数封装起来，给开发者，这样好多的功能就不需要你去实现了，只要会调用就好了。

小程序开发框架提供丰富的微信小程序api接口，可以方便的调起微信提供的能力，如获取用户信息，本地存储，支付功能等。通常，在小程序 API 有以下几种类型：

1.事件监听 API

以 on 开头的 API 用来监听某个事件是否触发，如：wx.onSocketOpen，wx.onCompassChange 等。

这类 API 接受一个回调函数作为参数，当事件触发时会调用这个回调函数，并将相关数据以参数形式传入。

2.同步 API

我们约定，以 Sync 结尾的 API 都是同步 API， 如 wx.setStorageSync，wx.getSystemInfoSync 等。此外，也有一些其他的同步 API，如 wx.createWorker，wx.getBackgroundAudioManager 等，详情参见 API 文档中的说明。

同步 API 的执行结果可以通过函数返回值直接获取，如果执行出错会抛出异常。

3.异步 API

大多数 API 都是异步 API，如 wx.request，wx.login 等。这类 API 接口通常都接受一个 Object 类型的参数，这个参数都支持按需指定以下字段来接收接口调用结果：

Object 参数说明：

回调函数的参数：

success，fail，complete 函数调用时会传入一个 Object 类型参数，包含以下字段：

异步 API 的执行结果需要通过 Object 类型的参数中传入的对应回调函数获取。部分异步 API 也会有返回值，可以用来实现更丰富的功能，如 wx.request，wx.connectSocket 等。

利用小程序API能够实现网络请求功能、顶部Banner功能、底部导航功能、数据交互功能、展示功能等功能。下面跟大家简单介绍几个：

1.网络请求功能

通过网络接口获取数据需要用到网络请求，可以利用js实现。微信提供了网络方面的接口，可以通过API-网络-网络请求。通过这个接口可以进行网络数据请求。

2.底部导航功能

底部导航功能可以通过tabBar属性得以实现。

3.顶部Banner功能

顶部Banner功能可以在swiper组件中实现，可以通过组件-视图容器-swiper找到文档，然后复制到官方。

以上就是关于微信小程序api开发相关知识的科普，关于微信小程序api教程你可以参考微信小程序api文档，学习更多。

一.接口安全的必要性

最近我们公司的小程序要上线了，但是小程序端是外包负责的，我们负责提供后端接口。这就可能会造成接口安全问题。一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息，如果不做权限校验，他们就可以随意调用后台接口，进行数据的篡改和服务器的攻击，会对一个企业造成很严重的影响。

因此，为了防止恶意调用，后台接口的防护和权限校验非常重要。

虽然小程序有HTTPs和微信保驾护航，但是还是要加强安全意识，对后端接口进行安全防护和权限校验。

二.小程序接口防护

小程序的登录过程：

1. 小程序端通过wx.login()获取到code后发送给后台服务器

2. 后台服务器使用小程序的appid、appsecret和code，调用微信接口服务换取session_key和openid（openid可以理解为是每个用户在该小程序的唯一识别号）

3. 后台服务器自定义生成一个3rd_session，用作openid和session_key的key值，后者作为value值，保存一份在后台服务器或者redis或者mysql，同时向小程序端传递3rd_session

4. 小程序端收到3rd_session后将其保存到本地缓存，如wx.setStorageSync(KEY,DATA)

5. 后续小程序端发送请求至后台服务器时均携带3rd_session，可将其放在header头部或者body里

6. 后台服务器以3rd_session为key，在保证3rd_session未过期的情况下读取出value值（即openid和session_key的组合值），通过openid判断是哪个用户发送的请求，再和发送过来的body值做对比（如有），无误后调用后台逻辑处理

7. 返回业务数据至小程序端

会话密钥session_key 是对用户数据进行加密签名的密钥。为了应用自身的数据安全，开发者服务器不应该把会话密钥下发到小程序，也不应该对外提供这个密钥。

session_key主要用于wx.getUserInfo接口数据的加解密，如下图所示：

sessionId

在微信小程序开发中，由wx.request()发起的每次请求对于服务端来说都是不同的一次会话。啥意思呢？就是说区别于浏览器，小程序每一次请求都相当于用不同的浏览器发的。即不同的请求之间的sessionId不一样（实际上小程序cookie没有携带sessionId）。

如下图所示：

实际上小程序的每次wx.request()请求中没有包含cookie信息，即没有sessionId信息。

但是我们可以在每次wx.request()中的header里增加。

接口防护方法

• 使用HTTPS防止抓包，使用https至少会给破解者在抓包的时候提高一些难度

• 接口参数的加密，通过md5加密数据+时间戳+随机字符串（salt），然后将MD5加密的数据和时间戳、原数据均传到后台，后台规定一个有效时长，如果在该时长内，且解密后的数据与原数据一致，则认为是正常请求；也可以采用aes/des之类的加密算法，还可以加入客户端的本地信息作为判断依据

• 本地加密混淆，以上提到的加解密数据和算法，不要直接放在本地代码，因为很容易被反编译和破解，建议放到独立模块中去，并且函数名称越混淆越难读越安全。

• User-Agent 和 Referer 限制

• api防护的登录验证，包括设备验证和用户验证，可以通过检查session等方式来判断用户是否登录

• api的访问次数限制，限制其每分钟的api调用次数，可以通过session或者ip来做限制

• 定期监测，检查日志，侦查异常的接口访问

上文讲述了微信小程序API相关知识科普,微信小程序 api接口安全。