微信小程序，有什么办法可以防止别人破解我的接口？

加密算法写到 wasm 里面

你限制接口登录才能访问不就行了吗。一个微信账号才能刷一次 成本就很高了

@worldqiuzhi 不行，因为我肯定是登录之后，才刷接口，就像签到一样

@zhcode 不确定能不能行，如果别人不破解 wasm ，直接复制了我的 wasm,直接调用加密方法就行了吧

这么有价值？

1. 是的，可以拿到小程序源码，上个月刚拿了一个
2. 没有绝对的“防止”，只有提高破解者的成本，比如自签名就是一种，一般破解者对普通程序 也就抓个包什么的，搞不到就算了，如果你的程序价值特别高，你要考虑其它方式给用户使用，而不是放在小程序，或者从账户层面做限制

@cat 怎么拿

每个请求都带上一个 wx.login 拿到的 code ，后端检验，虽然也有解决方案，但已经能挡下一大批脚本小子了

jwt 里加时间戳啊，加密的时间戳，时间戳不对就 return error

@me1onsoda 有专门的解压工具的。。

关键要看这个“破解”的概念是什么。

1 、如果是接口仅限小程序调用，走云函数是最可行的。

2 、如果是对调用次数有限制，对提交信息逻辑有要求，完全可以从 openID 的控制入手。频次异常、操作逻辑异常直接把他 openID 封了。（微信小程序的 openID 逻辑是服务器端控制的，前端只提交 wx.login 获得的 code ）

3 、如果是对提交的信息可信度有要求，那其实搞 IT 的应该都知道，web 提交的信息零信任。

总体来讲，就是把异常调用接口的成本提高，高过其收益。自然就不会有人恶意调用接口了。

@iOCZ 你说这话，说明你没有价值呀

@jadelike jwt 肯定不行的，因为这太容易绕过去了

小程序约等于前端
要么你就付费混淆随便整个写个加密就行了
要么你就用类似 GRPC 的通讯协议、在前端有点偏冷门、逆向这玩意得靠经验猜

还是服务器限制每一个 IP 的访问次数比较好，客户端限制比较有限。

@haython jwt 你别明文啊，用非对称加密不行么，私钥在你自己手上你怕啥

@haython wasm 里面的算法根据 userid 动态生成。

@4ark 方法靠谱, 否则只能使用微信云函数, 或者加上用户请求次数限制也行

@jadelike 我怀疑你没懂我要做什么，jwt 不管是加密还是不加密，肯定要下发给用户的，前端拿到直接再提交就行，根本不需要解密，我是要阻止有人在我的小程序之外恶意调用我的接口

@lambdaq 这种情况下，我的理解是 wasm 就是一个类库，userid 还是要传递参数进去，别人按照我的方式同样调用就行了