為保障微信公眾平臺用戶(hù)帳號安全,降低微信公眾平臺用戶(hù)開(kāi)發(fā)者密碼泄漏引發(fā)的盜用風(fēng)險,平臺將于2020年4月上旬起灰度調整部分開(kāi)發(fā)者功能的使用方法,被灰度到的開(kāi)發(fā)者也可以在站內信中查看相關(guān)通知,本功能調整也將在5月全面上線(xiàn)。具體調整說(shuō)明如下:
一、 access_token接口調整
在開(kāi)發(fā)者進(jìn)行獲取 access_token調用時(shí),如平臺判斷本次調用IP可能存在風(fēng)險則進(jìn)入風(fēng)險調用確認流程,需要用戶(hù)管理員確認后才可以成功獲取。具體流程為:
開(kāi)發(fā)者通過(guò)某IP發(fā)起調用->平臺返回錯誤碼[89503]并同時(shí)下發(fā)模板消息給公眾號管理員->公眾號管理員確認該IP可以調用->開(kāi)發(fā)者使用該IP再次發(fā)起調用->調用成功。
如公眾號管理員第一次拒絕該IP調用,該IP1個(gè)小時(shí)內將無(wú)法發(fā)起調用,如公眾號管理員多次拒絕該IP調用,該IP將可能長(cháng)期無(wú)法發(fā)起調用。平臺建議開(kāi)發(fā)者在發(fā)起調用前主動(dòng)與管理員溝通確認調用需求,或請求管理員開(kāi)啟IP白名單功能并將該IP加入IP白名單列表。詳情請參考開(kāi)發(fā)文檔。
二、API群發(fā)接口調整
平臺將對已開(kāi)啟公眾號群發(fā)保護的用戶(hù)灰度開(kāi)啟API群發(fā)保護。該功能開(kāi)啟后,通過(guò)API群發(fā)接口對全部用戶(hù)群發(fā)需要公眾號管理員確認后才會(huì )群發(fā)成功,如管理員拒絕該次群發(fā)則群發(fā)失敗,平臺將會(huì )推送錯誤碼到開(kāi)發(fā)者服務(wù)器:
err(40001):管理員拒絕
err(40002):管理員30分鐘內無(wú)響應,超時(shí)
用戶(hù)可通過(guò)設置-安全中心-風(fēng)險操作保護中關(guān)閉API群發(fā)保護功能。詳情請參考開(kāi)發(fā)文檔。
三、新增關(guān)閉公眾號開(kāi)發(fā)者功能
如無(wú)需再使用API功能,公眾號管理員可以通過(guò)開(kāi)發(fā)-基本配置-關(guān)閉開(kāi)發(fā)者功能來(lái)主動(dòng)關(guān)停API功能。該功能可以在需要使用時(shí)再次開(kāi)啟。對于長(cháng)期不使用API功能且存在開(kāi)發(fā)者密碼泄漏風(fēng)險的帳號,平臺可能會(huì )主動(dòng)為用戶(hù)關(guān)閉該功能。
開(kāi)發(fā)者密碼具有微信公眾平臺帳號最高權限,與微信公眾平臺登錄密碼同樣重要,我們再次提醒公眾平臺運營(yíng)者不要將開(kāi)發(fā)者密碼透露給任何團隊,并利用IP白名單功能主動(dòng)限制惡意調用,規避因開(kāi)發(fā)者密碼泄漏造成的帳號被盜用風(fēng)險。對于未主動(dòng)開(kāi)啟IP白名單功能的帳號,平臺建議用戶(hù)做好風(fēng)險調用確認工作,避免正常業(yè)務(wù)受到影響。
對于使用第三方平臺的用戶(hù),平臺建議用戶(hù)通過(guò)授權機制使用正規的第三方平臺來(lái)管理公眾平臺帳號,只授權業(yè)務(wù)所需的最小權限并及時(shí)取消不必要的第三方授權。