微信小程序，有什么办法可以防止别人破解我的接口？

如果是处理看广告拿奖励，那直接服务端验证时间戳呗，和广告来源的下载时间做核对，如果请求有异常就直接 ban 这个微信 id 一段时间

@haython 每个请求都加上小程序 appID ，接口层面白名单仅允许你自己的小程序访问，可行吗？

搜零知识证明验证身份看看

你附加里面的其实是两个问题: 一个是如何避免前端伪造证明自己看过广告领奖的接口调用, 另一个是如何证明广告是真被看过的.

前面一个其实不难, 滑块验证码这类的技术方案很成熟. 但是后面一个不太常见, 类似于要自己实现一个滑块验证码. 主要是要把看广告的过程转化为特征值供校验. 我感觉业界应该是有解决方案的, 比如那些在线视频学习网站, 要求必须看完整个视频才能完成课时.

有个解决方案是: 基于隐藏式的滑块验证码技术收集前端特征, 保证前端环境是可信的, 然后视频每看一秒, 就对看过的内容进行一次签名, 得到两个签名一起提交的服务器. 服务器做校验.

最简单的还是通过广告 id 校验播放开始与结束时间的唯一性。加速、重复看同一广告等问题都能解决。

可以加一些风控措施，在领取奖励到兑现奖励之间加一个检查环节，检查奖励来源、用户近期调用频率，是否同 ip 之类的

看你广告价值了，如果对方不是很特殊针对你，那么就简单客户端解决，前端 JS 通过看过这个特征处理：比如看的时长，从什么时间开始看看，从哪来的，手机倾斜角度等，这些数据上报上来，然后分析特征，将不符合要求的的屏蔽。对方拿了你的 wasm ，不分析源码，那么没法伪造行为数据，会被发现特征。

用户自我证明，比如移动滑块验证，观看内容考核。

这些搞起来，都会比做加密通信要麻烦。。。

最切实可用的就是走 wx 的协议，你自己搞 99%会先于 wx 被破解

预防的场景是这样，小程序有些功能是需要看广告才能领取的奖励，但是小程序的源码被人下载到了，直接绕过了看广告，直接调用了领取奖励接口，怎么能确保领取奖励接口一定是在我的小程序里调用的？
------------------------------------------------------------------------------------------------------------------------------------------------
既然如此服务端检验看完广告才能领取奖励不就得了，防护做的再多，只是增加难度而已，不如回归本源，你这就是一个很明显的越权漏洞啊。。

楼主这并不是防止接口被非授权用户访问，而是防止接口被授权用户自行调整访问顺序。可以洗洗睡了。给说几个跟楼主类似的场景，大家就知道这预防难度了：
一、跳过优酷视频开头广告。
二、客户端网游用外挂，甚至脱机外挂，刷经验金币。

尤其注意第二个场景，网游客户端这可是闭源且不可反编译的，应用层网络通信协议也大抵是私有的，这样并不防止被破解特定场景。

并不能完全防止 只能增加破解难度

我每个请求都用 请求参数+请求数据+时间戳 +salt 生成一个散列值 做 sign 然后请求加上刚才的时间戳

服务端 拿到之后判断时间戳是否大于 1 分钟 然后 请求参数+请求数据+时间戳 +salt 生成一个散列值 和 sign 对比

salt 值可以在小程序端混淆一下 小程序打的包也可以混淆
增加破解难度

@summerLast 有了 chatGPT, 混淆基本没用了, chatGPT 能直接给还原了, 还附带注释😂

激励视频一般会有服务端回调的 api ，小程序广告有没有这个 api 就不知道了。激励视频的奖励如果想要严格，肯定是要服务端验证的

@XiLingHost 微信的广告，我应该是没办法获取每次广告的时长的

@nong99 不可行，因为 appID 也是一个普通参数，也是前端发起的请求

@3825995121 你说的这个，就是我说的请求添加签名，前端代码被拿到的情况下，没有用啊

@xFrye 微信的激励视频没看到服务端回调 api

奖励是发送到账户的吗？统计下每个账户获得奖励的次数和间隔，间隔过小的（比如小于 10s ）、频次过高的就可能是程序刷的。把异常用户 block 。

用 wx.login 获取登录凭证的 code ，然后每个接口都加上这玩意，这是一次性的。基本上就可以阻止了。

@xuxu5112 不过这属于事后补救了，算是提高对方成本