github-actions[bot]
commented
1 month ago 您好开发者, 我们已收到你的问题, 已通知开发团队进行处理! 如您未阅读我们的开发文档,可先参阅开发文档 小红书问题处置流程 :sparkles: 感谢您的提问!:sparkles:
Open zeyuancanva opened 1 month ago
github-actions[bot]
commented
1 month ago 您好开发者, 我们已收到你的问题, 已通知开发团队进行处理! 如您未阅读我们的开发文档,可先参阅开发文档 小红书问题处置流程 :sparkles: 感谢您的提问!:sparkles:
Issue类型
bug
问题模块
小程序Api
所属的服务商
自开发
平台
IOS, Android
小红书版本信息
8.55.8
基础库版本
v3.107.2
用户ID
发生问题的时间
2024-10-08 13:55:25 至 2024-10-08 13:55:25
问题描述
获取手机号接口文档里说会先得到密文,然后去服务器端用session key 解密,看了示例代码,整个过程没有签名验证机制,密文数据可能会被篡改,虽然被篡改后的密文数据在解密后大概率不是正常的手机号格式,但仍然有一定机率碰撞到正常的手机号,所以如果信任拿到的手机号用来登录,会有一定风险导致账户被别人控制。
期望结果
考虑增加一个服务器端获取手机号的接口 例如:微信小程序是在客户端只给一个code,然后在服务器端用access_token从xhs服务器端拿手机号: https://developers.weixin.qq.com/miniprogram/dev/OpenApiDoc/user-info/phone-number/getPhoneNumber.html
重现步骤和复现问题的最小demo Github链接
https://miniapp.xiaohongshu.com/docs?path=/docs/guide/openPhoneNumber https://miniapp.xiaohongshu.com/docs?path=/docs/guide/openDataVerify
https://developers.weixin.qq.com/miniprogram/dev/OpenApiDoc/user-info/phone-number/getPhoneNumber.html