有关类似opendId的敏感数据是否可以在通信中作为参数传递,大家怎么看?

  • • 发表于 8年前
  • • 作者 Michael
  • • 18226 人浏览
  • • 21 条评论
  • • 最后编辑时间 8年前
  • • 来自 [技 术]

原创声明:本文为作者原创,未经允许不得转载,经授权转载需注明作者和出处

微信小程序文档中没有明确的指出他所谓的敏感数据是否可以在通信中传输,如openid这种。
如wx.getUserInfo的数据中敏感数据是在加密段中的,解密需要后台进行,如果可以服务器解析返回给小程序端,这个过程openid同样是暴露在网络传输中,那他加密的意义又何在?不是只是为了推卸责任,openid泄露是在小程序与我们自身服务器通信过程中而不在于小程序与微信服务器通信过程中把?都是https也不存在这个考虑吧。

如果不能把openid用作传输,那这个加密信息不可能每次都作为参数传递给后台吧,而且后台登录的时候已经拿到openid了,后台也不需要通过他这个加密段来解析出openid,根据session就可以获取到。那意义有何在?

所以这个部分的设计感觉有些鸡肋了,揣摩不透,他想怎么弄。目前我是按照openid可以后台解析传给小程序这种方式在使用。用小程序代码端解析出的openid和后台session里面的openid做匹配来判断身份安全性。

如果真的是这样,那估计腾讯就是为了,避免那个可能泄露openid的责任吧,大家怎么看?

分享到:
21条评论
Ctrl+Enter
作者

Michael

Michael

APP:5 帖子:36 回复:634 积分:5903

已加入社区[2903]天

人生是一场修行

作者详情》
Top