sxpcrazy

这里还真是冷清啊，没人关注信息安全吗？难道这问题都没人遇到过？我发现只要不做微信认证，做其它的访问都不会有 replay attack，难道是 微信 里面的搞得鬼？

@est 这些 IP 是 阿里 的吗？有人知道吗？我去看看是否是这个鬼

@yushiro
1、A 生成的给微信的 redirect_url 里面已经带了类似 state 参数的随机字符串，并且用过一次就失效了，所以 E 的攻击对我并没有什么用处，我只是觉得这个现象太不正常了，看看其他人有没有遇到过，最好是有人知道是什么原因造成的，如果真的是 HTTPS 被中间人攻击泄露内容，这个网络环境 TTMD 差了。
2、A 比如暴露给 D 的原因是，微信只允许一个域名可以进行网页授权，授权必须通过微信客户端内部访问 C 来做到，C 也只能跳转到 A，这是 OAuth2 基本的规则，但我们的业务会有很多域名，不能每个都去申请新的公众号，所以用 A 来做统一的网页授权再跳回到 B 业务。
3、B 访问 A 是通过 A 带回来的 TOKEN，相当于一个临时密钥，每一个密钥只对应唯一的一次鉴权，使用一次立即失效，随便自己组的 UUID 在 A 并不存在，所以只有 404，日志里面我已经将我自己的 IP 日志部分去掉了，因为我自己是第一次访问，都是 200 成功的，后续的非法请求全部失败了。

@zoues 中间的 A C 的跳转都是 HTTPS 的，理论上不应该被任何除了客户端和服务器端的第三方知道通讯内容。

@imn1 那个主题的情况和我的不太一样，毕竟他是存在外部链接的，而且最后也没讨论出什么结果。

@kmahyyg 也是 HTTPS 连接的情况？能具体说说嘛？

@est 什么意思？

@hanzhao 应该不是，微信没这个需要啊，它为何要多次请求同一个回调地址呢？而且那些 ip 都是被报告是 spam 或者 hacker 的 ip