微信公眾平台開發教程（七）安全策略

大概總結以下幾個方面，希望引起注意。

過程相當於一次握手，如果握手成功，可進行後續的通訊。

成為開發者後，我們也可以進行修改

面臨的危險：

1、如url和token被破解，直接鏈結到其他公眾賬號，直接可以盜用服務。當然對於一些廣告型別賬號而言，這樣無利可圖。但是，如果是提供某種應用或者服務的公眾賬號，免費給其他賬號提供服務，勢必增加服務端壓力，帶來一定的風險。

2、如果url被破解，即使token沒被破解。一些不法分子，可能對該url進行攻擊，當然槍打出頭鳥，想被黑客盯上也不沒那麼容易。呵呵

建議：

1、盡量保證服務的url，與提供訊息或者網頁沒有直接關係。以防止，根據url推算得出服務url。

2、可以使用url重定向，將一些路徑資訊進行隱藏。

4、token值，盡量複雜一些。

所以在**中，我們常常會根據請求的方式來判斷是否進行簽名驗證。在之前的例子中，也曾這麼用：

/// /// 處理請求，產生響應
/// 
/// 
public string response()
else
}//處理訊息
if (method == "post")
return "無法處理";
}

根據這個原理，我們將**修改如下：

/// /// 處理請求，產生響應
/// 
/// 
public string response()
else
}//處理訊息
if (method == "post")
}return "無法處理";
}

通常我們的公眾賬號都對應乙個openid，在處理訊息時可以獲得。這個openid是固定的，可以根據其判定傳送者的身份資訊。這種方式，可以很好的過濾無效訊息或者欺騙，只有發給我的訊息，我才處理。即使url和token被人破解，也同樣能夠保證後端服務，只為我們的公眾賬號提供服務。

/// /// 是否是發給我的呢
/// 
/// 接受者
/// bool
private bool issenttome(string tousername)

獲取access_token方式，通過get請求如下url

獲取access_token後，就可以操作一些高階介面

比如：建立自定義選單，是通過http請求方式：post（請使用https協議）

伺服器安全要素很多，比如：保證網路安全、設定防火牆、安裝防毒軟體、限制一些埠等等，這跟我們平時伺服器安全要求一樣，這方面資料很多，這裡不再贅述。