后端接口被盗用有什么好办法么？

恶魔一点的，后台来一套 se 情的，能导致直接被封但是你们得用另一个接口。
善良一点的，加各种验证

一般的简单做法就是接口参数验签

在 header 上塞点无用数据 然后把校验信息字段插进去

@wangningkai 一台 root 后的安卓机，微信小程序能拿到整个包，然后反编译，现在所知的情况是重要代码加密混淆后能暂时增加反编译的难度，以后可能也无法幸免。

举报就行了，腾讯小程序域名是有限制的。

抓 1024 的某区文章标题。。

然后随机返回。。。

@whileFalse woc 太狠了，你是魔鬼吗？哈哈

可以考虑把小程序的云开发，当做中间件来使，通过云函数调用你的 API，小程序的权限控制来限制第三方访问。

检验 refer，前端接口加个复杂点的混淆加密 token

@neko77 https://www.v2ex.com/t/586612?p=1#r_7678881
这种行为感觉有点可耻。

se 数据估计被封的不仅是对方的小程序，估计连我的域名和主机都凉了。其实我感觉验证 openid 比较稳，这样即使造假也能控制住

免费流量越多越好啊，不要挡住，悄摸得利用起来

方案有很多。可以给接口增加一个验证 ID+超时。验证 ID 可以定期更新，或者随机产生，每次都不一样。

小程序有 id 的。 搞个网关在前面 监控和调用授权整上

@MMMMMMMMMMMMMMMM 不懂求教，token 他能反复拿是指什么？ csrf token 不是一次性的吗？

@wangsongyan 你好骚啊🌸🐔

请求加上 jscode，服务端看看能不能解密出 openid，如果不能证明是不合法的调用。

加密接口数据,解密方法用混淆，多跳几个方法！

这本质上是一个反爬问题。
你现在首先要解决接口能直接被别人从小程序上调用的问题，应该有办法可以判断是哪个小程序上调用的。
解决完这个之后再在接口上加个校验参数，每次调用接口的时候都拿其他参数和当前时间之类的可变值生成一次，并且服务端接到后也生成一次对比是否一致。
然后在这个基础上将代码进行高度混淆，使生成校验参数的逻辑难以被看懂。
如果做到这个程度之后还有人搞你，你还可以加上单 IP 频率限制、根据隐藏条件返回假数据、返回数据加密后在小程序端解密等各种手段。
如果还有人搞你的话你就放弃抵抗吧，他的成本已经被你提到比较高的程度了，经过多次调整、在需要服务器+代理 IP+逆向的情况下依然坚持获取你的数据并放到自己的小程序上展示，说明你的数据价值很高，值得他这么做，你能做的只有举报、走法律手段（成本较高）。

@miniwade514 无限的 Debug 往前追，可以追出你发 token 的流程，跑一遍就行了。

emmmm，就好比 QQ 现在的网页登录，先访问了一个 url 给你个值 https://ssl.ptlogin2.qq.com/check

然后再给他各种偏移加盐(js 里都可以直接扒出 function 来用)，带好 cookie，失效前一起再送过去，server 给你发 token 就能用了，失效再拿就好

比 10 年前的登录是复杂了很多，增加了些破解难度，但实际上还是没用