说个笑话：微信小程序认为用户昵称、头像是用户隐私

mumbler

2020-03-17 19:26:38 +08:00

@GM 如果你用 openid 作为用户唯一标识去公开传输，我批量拿到你用户 openid 就可以攻击你啊，模拟用户在你程序操作，发表言论，这还不够敏感么，所以微信建议用 sessiondata 方式，而不要公开传输 openid

GM

2020-03-17 19:26:55 +08:00

还是第一次听说用户能在微信里自己构造请求，求用户在微信里构造假请求的方法。
微信开发工具里倒是可以，问题是你得加入到开发者列表里才能用这个工具。

aWangami

2020-03-17 23:48:14 +08:00

如果说这么一个场景，你在 Chrome 里面设置了头像和昵称，当你打开任意一个网站的时候都可以不经过授权网站就能拿到这些信息，你觉得是否合理？

Tokin

2020-03-18 00:28:55 +08:00

getUserInfo 需要授权才能获取，服务器也能拿到这个数据。
open-data 仅仅只是用户端显示，但是服务器拿不到这里的数据。
想要 openId，不要先经过 getUserInfo 吗？也就是 getUserInfo 授权一次之后之后无需授权，这么处理完全没问题吧。

alphatoad

2020-03-18 04:20:16 +08:00

就是因为有你这样不尊重隐私的开发者我们才不得不用 iPhone

GM

2020-03-18 10:14:47 +08:00

@aWangami
我想说的搞笑的地方：
官方团队说：[没经过用户授权程序就直接能显示用户头像和昵称的话，用户会觉得很奇怪]
然后：官方团队又提供一套 open-data 组件可以直接显示用户头像、昵称、性别、城市等所有“隐私数据”，无需用户授权。

@Tokin 要 openId 直接 wx.login 然后 code2session 即可，整个过程对用户透明，完全无需用户参与，无需授权。

xingyuc

2020-03-18 10:42:40 +08:00

@alphatoad 微信那套骗骗普通用户还行，你获取到了 openid 还不是想干嘛干嘛

GM

2020-03-18 12:29:43 +08:00

@xingyuc 你说能干嘛？嘛都干不了。这东西就跟用户 ID 一个样，就纯粹一个 guid 而已，除了该平台之外，任何人拿了都没任何用处。

xingyuc

2020-03-19 17:58:13 +08:00

@GM 那是现在严格了，以前可以发送通知啥的，随随便便获取 formid

feiandxs

2020-04-27 22:04:41 +08:00

@GM code2session 这个记不清了，其实更坑的我认为还是在公众号里。

不过你说的 open-data 组件还真的没问题。

因为这个组件只限于用户本地可以看得到，可以读取，对开发者是屏蔽了的，开发者并不能通过 open-data 这个组件获取到任何用户信息，只有那个用户自己访问的时候自己看得到而已。

GM

2020-04-28 10:42:18 +08:00

@feiandxs 你还是看明白为什么我觉得好笑：
第一，官方团队说：[没经过用户授权程序就直接能显示用户头像和昵称的话，用户会觉得很奇怪]
第二，官方团队又提供一套 open-data 组件可以直接显示用户头像、昵称、性别、城市等所有“隐私数据”，无需用户授权。

也就是说，实际上小程序是可以[没经过用户授权程序就直接能显示用户头像和昵称]的！直接打脸第一条。

feiandxs

2020-04-28 11:47:04 +08:00

@GM

我不觉得好笑，虽然微信开发团队人神共愤，是个开发者都想喷他们的文档到体系，但是……

不争这个了，笑就笑吧。

因为你讲的 1,2 亮点我都没在官方发言中找到，这就没法讨论了……

就算了吧。

张小龙真傻。

GM

2020-04-28 12:44:14 +08:00

@feiandxs 他们员工是这样给开发者答疑的：
当你作为一个用户进入一个小程序，这个小程序并没要求你授权就直接把你的头像昵称显示出来（它之前把 unionId 对应的头像昵称都存了下来），但是这个小程序主体（ open 平台主体和公众平台主体并不相同）相关的任何一个应用你从来没用过，你会不会觉得很奇怪并且很不舒服，觉得自己在微信内的用户信息没有丝毫的保障？

当然了，如果认为员工的回答不算官方的话，我也无话可说，因为那确实不是正式官方正式发言的。