请问一下这里哪里不符合规范了,
1,小程序中除了jscode2session,这个api,没有使用到“secret”相关的了。
2,我们订阅消息使用的access_token也是我们自己后台中获取的,小程序端只是用户点击授权,这个有影响吗?还有昨天我也提交了都通过了,今天就无法通过了?
3,如果不是上面的问题,那请问具体审核不通过的原因是什么,贵司官方文档过于简单,完全不明白,具体排除原理和涉及secret的字符串有哪些!请帮助一下,我们方便根据具体规则严格排查
当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险?The current pre-audit mini-program package may contain plaintext AppSecret, is there a security risk of leakage?
当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险?
请问一下这里哪里不符合规范了,
1,小程序中除了jscode2session,这个api,没有使用到“secret”相关的了。
2,我们订阅消息使用的access_token也是我们自己后台中获取的,小程序端只是用户点击授权,这个有影响吗?还有昨天我也提交了都通过了,今天就无法通过了?
3,如果不是上面的问题,那请问具体审核不通过的原因是什么,贵司官方文档过于简单,完全不明白,具体排除原理和涉及secret的字符串有哪些!请帮助一下,我们方便根据具体规则严格排查
Excuse me, where does it not comply with the specification? 1. In the applet, except jscode2session, the API does not use "secret". 2. We subscribe to the access used by the message_ The token is also obtained in our own background. The applet side is only user click authorization. Does this have any impact? Also, I submitted it yesterday and passed it. Can't I pass it today? 3. If it is not the above problem, what is the specific reason for the failure of the audit? Your official document is too simple and doesn't understand at all. What are the specific exclusion principles and strings involving secret! Please help us. It's convenient for us to check strictly according to specific rules
回答:
后端 API 不能直接在小程序内通过 wx.request 调用,即 api.weixin.qq.com 不能被配置为服务器域名。
那你小程序里是怎么请求jscode2session这个API的?小程序不允许直接请求api.weixin.qq.com域名下的所有接口。
群主管理都是支付大佬
去掉appsecret