微信小程序中登录 code 可以“伪造”？

昨天晚上 21 点 34 分左右，服务器涌入大量请求，这些请求的 UA 完全一致

  'user-agent' => 'Mozilla/5.0 (Linux; Android 6.0.1; C106 Build/ZAXCNFN5902606201S; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044304 Mobile Safari/537.36 MicroMessenger/6.6.7.1321(0x26060739) NetType/WIFI Language/zh_CN'

很奇怪，主要有一下几点疑问

这些接口调用微信小程序内部的 login 方法得到了 Code，通过 Code 可以在微信 API 接口中获取到 OpenID，没有发生错误。
上条是否可以判定这些 Code 就是正确的 Code?
如果可以判定这些 Code 是正确的 Code，在一分钟内发送了大概 1w+的 Code 并且获取到了 OpenID，但这些所有的请求的 UA 完全一致，并且使用了‘ x-forwarded-for ’伪造了 IP。

以我的猜测，这些 Code 确实是正确的 Code，但是可能是从 Q 控 /X 议里面批量得到的，然后某些人收购 Code，通过这些 Code 批量请求

目前的解决方案，增加用户授权的操作，通过微信的 wx.getUserInfo 方法中 encryptedData 返回值判断。

这种方法增加了用户的操作，整体流程繁琐了，不知道大家有没有什么好的解决办法。

Snailzzz

2019-06-20 09:02:12 +08:00

@csys 抱歉，我表达有点不清楚，这些 Code 从正常流程来说，是微信小程序的开放方法 Login 获取到的，然后发送给后端，后端拿这个 Code 去微信那里请求获得 OpenID 等信息，但是同时这么多 Code 并且请求项目的后端的 UA 完全一致，小程序统计那里也没有人数的剧增

uqf0663

2019-06-20 09:10:54 +08:00

@shoaly 一点也不神奇，关键词“微信 ipad 协议”“微信安卓协议”有各种成品推广的软文，还有某些免费的试用版，可以自动批量聊天、管理群、加人、发红包抢红包、爬取朋友圈、公众号等各种原本是加密跟各种鉴权的操作。简单总结就是他们通过反编译微信的客户端，然后模拟微信客户端的各种操作。基于此自动获取小程序的 code 也不是啥难事，我猜测小程序的 code 的生成大概有两种可能，一种是本地通过特定的加密方式把一些信息加密，而微信的服务端解密得到这些信息再通过开发者的接口请求返回，另外一种是直接请求微信的服务端得到这个 code。。。无论哪一种看起来破解难度都很低。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/575679

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.