使用https协议,对小程序的服务端接口,其实没有任何保护作用吧?

young8704
  • 250

微信要求服务端的接口使用https协议用于响应小程序的请求。

而小程序的前端代码已被发现 可轻松反编译,相当于https接口是暴露的,服务端无法验证https接口的请求是来自于自己的小程序,还是其他冒用的小程序或网页。

所以https对接口的保护没有任何作用咯?
所以https只是用于保护数据在传输过程中的安全性。


使用https协议,只能保证服务端和张三通信时,李四不知道服务端和张三聊了什么。
如果李四冒充张三和服务端通信,服务端根本无法辨别他是不是张三。
李四也可以直接以李四的身份与服务端通信。
这样理解,对吧?

回复
阅读 1k
2 个回答

额,你认为的对接口保护是包含哪些呢?保护用户不被 dns劫持到第三方,保护用户请求的数据再传输中不被篡改,保护用户请求到正确的服务器,这些也算是保护接口啊.

一般使用的 https只是客户端验证你请求的不是伪造的服务器.而服务器认为你都是客户,程序无法识别你定义的自然人,后端程序也仅仅是通过客户的 token 来识别是谁的,就算是你后端的业务逻辑,也不知道用户是否是盗用他人的 token 来请求的啊.

amazingzl
  • 1
新手上路,请多包涵

其实https保护的并不是保护服务端不被恶意请求。最重要的还是后端做好逻辑处理,做到即使是伪客户端的请求,也不会 对业务影响而引发数据错误。

宣传栏