//01 AppID與AppSecret介紹

    AppID是微信小程序的唯一標(biāo)識(shí)符，用于區(qū)分不同的小程序。登錄微信公眾平臺(tái)，進(jìn)入小程序管理后臺(tái)。查看AppID：在“管理”-“開(kāi)發(fā)管理”-“開(kāi)發(fā)設(shè)置”中，可以找到小程序的AppID。AppID的作用是在小程序中與微信服務(wù)器進(jìn)行通信，例如獲取用戶信息、支付等操作。用于校驗(yàn)小程序的合法性和權(quán)限，例如微信支付接口需要在微信開(kāi)放平臺(tái)注冊(cè)，并綁定對(duì)應(yīng)的AppID和AppSecret。在開(kāi)發(fā)環(huán)境和發(fā)布上線時(shí)，AppID用于標(biāo)識(shí)不同的小程序。

    AppSecret是與AppID對(duì)應(yīng)的密鑰，用于對(duì)小程序進(jìn)行簽名加密，保障小程序的安全性。登錄微信公眾平臺(tái)，進(jìn)入小程序管理后臺(tái)。查看AppID：在“管理”-“開(kāi)發(fā)管理”-“開(kāi)發(fā)設(shè)置”中，掃碼認(rèn)證后可以查看小程序的AppSecret。AppSecret的作用是在使用微信提供的一些高級(jí)接口時(shí)（如微信支付、數(shù)據(jù)分析等），需要使用AppSecret對(duì)請(qǐng)求進(jìn)行簽名，以保障接口調(diào)用的安全性。在調(diào)用微信提供的登錄接口時(shí)，需要將AppSecret與code一起發(fā)送給微信服務(wù)器，以獲取用戶的唯一標(biāo)識(shí)符。

//02 AppID與AppSecret能做什么

    AppID與AppSecret可以調(diào)用接口獲取臨時(shí)登錄憑證(access_token)，用于在開(kāi)發(fā)過(guò)程中驗(yàn)證用戶身份。通過(guò)獲取到的access_token可以在微信開(kāi)發(fā)平臺(tái)調(diào)式工具調(diào)用接口進(jìn)行調(diào)式，可以理解為接管接口提供的一系列服務(wù)。

//03 如何獲取AppID與AppSecret

    第一種方法可以注冊(cè)微信小程序賬號(hào)：訪問(wèn)微信公眾平臺(tái)，選擇“小程序”作為注冊(cè)類型，填寫相關(guān)信息并完成注冊(cè)。進(jìn)入小程序后臺(tái)：登錄微信公眾平臺(tái)，進(jìn)入小程序管理后臺(tái)。查看AppID：在“管理”-“開(kāi)發(fā)管理”-“開(kāi)發(fā)設(shè)置”中，可以找到小程序的AppID，使用管理員掃描掃描即可查看AppSecret。

    第二種方法是在滲透測(cè)試中小程序可能會(huì)調(diào)用一些配置信息的接口，在這些接口里可能由于開(kāi)發(fā)的疏忽會(huì)把AppID與AppSecret及其他配置信息直接暴露在前端代碼中，可以獲取AppID與AppSecret。

//04 AppID與AppSecret利用方式

    1.需要通過(guò)調(diào)用接口獲取臨時(shí)登錄憑證（access_token）。appid參數(shù)填寫AppID，secret密鑰填寫AppSecret訪問(wèn)即可調(diào)用access_token。

    2.獲取到access_token后可以在微信開(kāi)發(fā)平臺(tái)調(diào)式工具調(diào)用接口進(jìn)行調(diào)式，選擇常規(guī)調(diào)用，接口調(diào)用憑證類型選擇access_token即可進(jìn)行正常的接口調(diào)用。

https://api.weixin.qq.com/wxaapi/feedback/list?access_token=wx123

  END