微信公众号开发通过网页授权获取openid换取member_id和token的安全问题

发布于
2018-05-31

1.通过微信公众号网页授权获取openid,在后台查找绑定了这个openid的账号
2.通过url拼接member_id和token 返回用户信息实现自动登录

问题来了虽然我们前端有一个中转页面保存完member_id和token执行跳转,不暴露member_id和toke给用户
但是在用户网络环境很慢的情况下跳转很久才能执行用户可以把带member_id和token的页面分享出去这样别人点击他的分享链接就能登录他的账户了这样的问题怎么解决？

php 微信公众号开发

阅读 3k

2 个回答

发布于
2018-05-31

加一次性token校验，给当前登录用户发送token到cookie当用户跳转后去校验这个token是否存在或有效。

顶级手法

发布于
2018-05-31

你可以在授权登录成功获取到openid的时候，然后绑定并保存在cookie中，在需要验证登录的页面验证是否有这个cookie值就好了

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

相似问题

找不到问题？创建新问题