碼上歡樂
相關內容    簡體    繁體

防止活動上線時 微信openid 被偽造的解決辦法

本文轉載自   查看原文   2018-07-10 15:50   1055    php

背景

前不久上線了一個 campaign 項目,一個 h5,后端為php,用戶可以在微信中通過網頁授權的方式登錄,然后用微信 openid 作為唯一標識符進行簽到和抽獎的操作。

結果后期出現了很多臟數據來冒領抽獎的操作,這些臟數據的出現是因為 openid 被偽造從而順利入庫。

方法

解決問題的思路就是不讓 openid 偽造,有兩種辦法:

方法一、每次獲取 openid 參數時,調用微信公眾平台的“獲取用戶基本信息”的接口

方法二、采用 openid 加密的方法

結論:方法一這個接口官方有調用頻率的限制,所以我們采用方法二

改造后的業務流程圖

這里需要改造兩塊代碼:

1、微信授權接口
2、campagin api接口

采用對稱加密

如上圖所示:

1、加密的對策是:微信授權的時候,后端把回調給前端的 openid 進行加密;調用 api 的時候,前端再把授權得到的加密后的 openid 傳給后端,后端先做解密操作,然后再進行剩下的業務邏輯,如果解密操作失敗,則認定openid非法,拒絕此次請求
2、因為 campaign 服務器同時負責加密和解密,可采用對稱加密算法,這里我們選用更先進的 AES 加密算法

加密工具函數的代碼如下:


function encrypt($string, $operation, $key = '')
{
    $key = md5($key);
    $key_length = strlen($key);
    $string = $operation == 'D' ? base64_decode($string) : substr(md5($string . $key), 0, 8) . $string;
    $string_length = strlen($string);
    $rndkey = $box = array();
    $result = '';
    for ($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($key[$i % $key_length]);
        $box[$i] = $i;
    }
    for ($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }
    for ($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }
    if ($operation == 'D') {
        if (substr($result, 0, 8) == substr(md5(substr($result, 8) . $key), 0, 8)) {
            return substr($result, 8);
        } else {
            return '';
        }
    } else {
        return str_replace('=', '', base64_encode($result));
    }
}

function encrypt_string($str)
{
    $key = 'test'; //這里的$key是密鑰,請自行定義
    return encrypt($str, 'E', $key); //加密
}

function decode_string($str)
{
    $key = 'test'; //這里的$key是密鑰,請自行定義
    return encrypt($str, 'D', $key); //解密
}

調用:


$openid_param = encrypt_string($openid_param);

$openid_param = decode_string($openid_param);
//如果$openid_param === false,則openid非法!


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 [轉]delphi 防止刷新時閃爍的終極解決辦法 微信錯誤解決辦法 微信公眾號分享時,提示invalid signature,簽名錯誤解決辦法 【原創】微信授權、獲取用戶openid-純前端實現——jsonp跨域訪問返回json數據會報錯的純前端解決辦法 微信--高效解決token及授權用戶openid的持久化處理辦法 微信--高效解決token及授權用戶openid的持久化處理辦法 跨站請求偽造解決辦法之——過濾referer 關於CSRF跨域請求偽造的解決辦法 調用微信退款接口時出現System.Security.Cryptography.CryptographicException: 出現了內部錯誤 解決辦法 微信小程序第二次進入頁面時setData成功,但界面不刷新的解決辦法
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM