微信开放平台授权需要7部才能完成,并且在此之前还需要通过开放平台开发配置,数据通过AES加密验证。配置授权事件URL,用于接收[component_verify_ticket]。获得component_verify_ticket后,按照[获取第三方平台component_access_token]接口文档,调用接口获取component_access_token。获得component_access_token后,按照[获取预授权码pre_auth_code]接口文档,调接口获取pre_auth_code。获得pre_auth_code后,按照[授权技术流程说明]文档,引导用户授权后获取authorization_code获得authorization_code后,按照[使用授权码换取公众号或小程序的接口调用凭据和授权信息]接口文档,调接口获取authorizer_refresh_token。获得authorizer_refresh_token后,按照[获取/刷新授权公众号或小程序的接口调用凭据]接口文档,调接口获取authorizer_access_token。按照接口文档,代替公众号或小程序调用接口。
服务端防护
传输层防护
微盟也是根据OAuth0授权流程实现。
client_id | 开发者应用用于发起微盟Oauth_2.0授权的凭证(可在“开发者中心”创建应用后获取到) |
client_secret | 开发者应用用于发起微盟Oauth_2.0授权的凭证(可在“开发者中心”创建应用后获取到) |
redirect_uri | 应用发起请求时,所传的回调地址参数,用于接收平台返回的数据 |
access_token | 开发者完成授权后,被颁发调用微盟API 的凭证 |
refresh_token | 刷新access_token的凭证,当access_token过期时,开发者可以用refresh_token刷新得到新的access_token |
安全鉴权案例
微盟开放平台
客户端双向认证。在app中预置证书,要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。客户端双反hook,反调试,防逆向。客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。
验证签名与授权信息是否合法,是否失效。参数合法性校验,例如时间戳和参数签名校验。过滤一些非法参数。数据加密,签名可以采用非对称加密,参数采用对称加密,密匙采用非对称的私匙。定时更新签名以及加密信息。接口监控,接口的使用设备,使用频率,调用顺序是否合法。风控策略防护,有一点作用但是对于有明确指向性的攻击意义不大,IP可以换,频率可以变,很容易就绕过了,策略的设计上要注意尽量少用短命的规则,而且一般只对低级别的对抗有效。通过风控平台进行用户行为分析,数据挖掘,然后通过机器学习形成风控模型,对风险进行全方位识别,预警以及管控。
传输协议防护,首先接口建议使用HTTPS协议,这样至少会给破解者在抓包的时候提高一些难度。
文章为作者独立观点,不代表股票交易接口观点