请问微信 openid 可以伪造吗

有一些二维码活码限制了一个微信只能扫固定某一个二维码，猜测微信访问网页的时候生成一个 openid，这个 openid 跟二维码图片绑定。下次再扫描还是拿到同一张二维码。设想如果通过 hook 方式来伪造 openid 的话，是否可以突破这种限制呢？

killergun

2020-09-30 16:27:24 +08:00

这要是能伪造，微信程序员可以下岗了

quan01994

2020-09-30 16:29:49 +08:00

不能伪造，但是你可以获取啊，你可以网上买一波微信号，用于获取 openId 。

levon

2020-09-30 16:46:27 +08:00

能不能伪造跟你写的程序有关

annielong

2020-09-30 18:02:52 +08:00

看程序了，获取 openid 这个是没法伪造的，但是第三方程序不一定会验证这个是否合法，

newmlp

2020-09-30 18:09:31 +08:00

去看看微信开发文档就知道了

yepinf

2020-09-30 19:01:01 +08:00

@kop1989 请教下，如何模拟微信浏览器取跳转的 code 参数

EminemW

2020-09-30 20:31:50 +08:00

openid 是微信提供一个 token 给后端，后端在通过这个 token 与 appid 向微信服务器请求拿到 openid 。所以你破解方向不应该是 openid，

kop1989

2020-09-30 21:47:22 +08:00

@yepinf #26 不需要获取 code，因为 lz 的最终目的是编造非本机主的 openID 。说白了就是绕过 openID 获取机制而已。和 hack 微信的 openID 获取机制其实无关。

ebony0319

2020-09-30 23:09:29 +08:00

理论上不行，但是我见过黑产突然一下子(一两秒)一个地址多出十多万微信刷票，不知道怎么弄的。

zhiyzellda

2020-10-01 08:22:23 +08:00

@ebony0319 他自己就是內部員工吧，內鬼搞得。或者是內部人在黑市裡出售了工具。黑市用了 Tor，所以鵝厂高層也不知道是誰。

xuanbg

2020-10-01 10:23:49 +08:00

虽然一个用户有多个 openId，但这些 id 是和公共号一一对应的。你伪造的上哪里去对应？对不上就拿不到用户身份，就没法通过验证。

xuanbg

2020-10-01 10:26:04 +08:00

@ebony0319 这种大多是群控搞的，就是有几万台设备，一个设备上有若干账号，然后通过群控工具一下子给你投票。

eudore

2020-10-01 13:51:31 +08:00

可以伪造 openid，前提是你可以破解 hmac 的非对称加密。

ESeanZ

2020-10-09 10:09:39 +08:00

自己写一个微信服务不就好了吗？切图仔一个想着自己手动写一个获取 openid 的服务(open_weixin_qq_com/connect/oauth2) 路由器吧域名解析到自己服务器上应该就可以了吧？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.