为保障微信公众平台用户帐号安全,降低微信公众平台用户开发者密码泄漏引发的盗用风险,平台将于2020年4月上旬起灰度调整部分开发者功能的使用方法,被灰度到的开发者也可以在站内信中查看相关通知,本功能调整也将在5月全面上线。具体调整说明如下:
一、 access_token接口调整
在开发者进行获取 access_token调用时,如平台判断本次调用IP可能存在风险则进入风险调用确认流程,需要用户管理员确认后才可以成功获取。具体流程为:
开发者通过某IP发起调用->平台返回错误码[89503]并同时下发模板消息给公众号管理员->公众号管理员确认该IP可以调用->开发者使用该IP再次发起调用->调用成功。
如公众号管理员第一次拒绝该IP调用,该IP 1个小时内将无法发起调用,如公众号管理员多次拒绝该IP调用,该IP将可能长期无法发起调用。平台建议开发者在发起调用前主动与管理员沟通确认调用需求,或请求管理员开启IP白名单功能并将该IP加入IP白名单列表。详情请参考开发文档。
二、API群发接口调整
平台将对已开启公众号群发保护的用户灰度开启API群发保护。该功能开启后,通过API群发接口对全部用户群发需要公众号管理员确认后才会群发成功,如管理员拒绝该次群发则群发失败,平台将会推送错误码到开发者服务器:
err(40001):管理员拒绝
err(40002):管理员30分钟内无响应,超时
用户可通过设置-安全中心-风险操作保护中关闭API群发保护功能。详情请参考开发文档。
三、新增关闭公众号开发者功能
如无需再使用API功能,公众号管理员可以通过开发-基本配置-关闭开发者功能来主动关停API功能。该功能可以在需要使用时再次开启。对于长期不使用API功能且存在开发者密码泄漏风险的帐号,平台可能会主动为用户关闭该功能。
开发者密码具有微信公众平台帐号最高权限,与微信公众平台登录密码同样重要,我们再次提醒公众平台运营者不要将开发者密码透露给任何团队,并利用IP白名单功能主动限制恶意调用,规避因开发者密码泄漏造成的帐号被盗用风险。对于未主动开启IP白名单功能的帐号,平台建议用户做好风险调用确认工作,避免正常业务受到影响。
对于使用第三方平台的用户,平台建议用户通过授权机制使用正规的第三方平台来管理公众平台帐号,只授权业务所需的最小权限并及时取消不必要的第三方授权。
