问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

js中敏感信息的处理方式?

头像
文武双全
    6031193115

    问题描述

    js中暴露了 调用微信的token 的appid secretKey怎么搞?

    问题出现的环境背景及自己尝试过哪些方法

    压缩没用 加密后会导致线上的js代码运行报错

    相关代码

    getOpenId: function getOpenId(code) {
        return _jquery2['default'].get('https://api.weixin.qq.com/sns/oauth2/access_token', {
          appid: 'xxxxxx', //这里
          secret: 'yyyyy', //and 这里
          code: code,
          grant_type: 'authorization_code'
        });
      },

    你期待的结果是什么?实际看到的错误信息又是什么?

    期待不要被别人从js中直接拿到appid secret 不然别人会直接去http://work.weixin.qq.com/api...
    调用

    javascript
    阅读 5k
    4 个回答
    得票最新
    头像
    Meathill
      22.8k133642
      1. js 里的信息无法完全掩盖,你可以用一些方法来处理,但只是增加别人获取的难度(基本上相当于你给一捆钞票盖上一张报纸)
      2. 微信设计的时候,app id 是公开的,但 secret key 是保密的,所以你需要一个后端帮你处理需要 secret key 的场景。
      头像
      冯恒智
        7.9k2428

        这个不是你来请求的,你把code传给后端后端再去请求

        头像
        Hypocrite
          5591016

          secret肯定不能放在前台。这个东西本来就是放在后台,让后台使用的。

          而且,就算你放在前端,你也解决不了接口调用的跨域问题吧。。。

          头像
          杨周龙
            78919

            tonken是后端获取来调用JSDK的TONKEN计算秘钥返回前端调研JSDK接口用的,前端只需要调用appId,和后盾返回随机字符串和时间戳,秘钥就行了。

            撰写回答
            你尚未登录,登录后可以
            • 和开发者交流问题的细节
            • 关注并接收问题和回答的更新提醒
            • 参与内容的编辑和改进,让解决方法与时俱进
            推荐问题