暴露openid会带来什么安全隐患?
各路大神路过请留步。
公司内部使用的小程序,通过openid判断权限,首次使用需要通过短信验证后绑定openid。
每次请求后端接口都需要附上openid(wx.login在后端获取后返回小程序)和在云函数生成的token,token有效期为2秒。。。目前运行比较平稳。。。
昨天各单位提出:
在小程序端可以新增账户,新账户A把openid提供给管理员,管理员通过在小程序输入并进行绑定。。
那么新账户A想要获得自己的openid,就得在小程序上展示。如果坏人拿到别人这个openid,会有什么隐患???