雷锋网消息,微信公众号一直以来可通过公众平台开发者密码(Appsecret)进行群发,开发者密码(Appsecret)一旦发生泄露,盗号者可在无需登录的情况下,随意调用群发等重要接口。近期出现的“幽灵群发”也是由此引发的。11月30日,微信发布公告称,为避免因开发者密码(Appsecret)泄露对帐号造成损失,平台对调用“获取access_token”接口增加 IP 白名单校验。
只有白名单IP才能生成公众号access_token(https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET ),开启 IP 白名单不影响使用 access_token调用其他接口。由此,即使开发者密码(Appsecret)泄露,盗号者也无法进行群发操作。
开启步骤如下:
1、登录公众平台,进入开发->基本配置页面
2、点击配置进入IP白名单设置页
3、填写IP地址列表
4、管理员扫码确认保存
5、调用“获取access_token”接口,返回结果。如非白名单IP调用,将返回错误码:40164,可通过wiki查看具体原因。
本文来源:公众平台安全助手