@c2const 你提到一个更新频率，这个是得考虑，只要我更新的够快，就没人能破解😂

@jadelike 建议你看看别人的回复，真的不是防止重放攻击

@d873139022 这个前提是 wx.login 返回的 code 没被破解，我是看到有人发过，不需要打开小程序就可以获取这个 code ，并且可以在服务端正常使用

@xuxu5112 不过这属于事后补救了，算是提高对方成本

@xFrye 微信的激励视频没看到服务端回调 api

@3825995121 你说的这个，就是我说的请求添加签名，前端代码被拿到的情况下，没有用啊

@nong99 不可行，因为 appID 也是一个普通参数，也是前端发起的请求

@XiLingHost 微信的广告，我应该是没办法获取每次广告的时长的

@hantianyang 对，怎么确保是在我的小程序发起的调用，而不是别人模拟的请求

@agostop 不是防重放攻击

@jadelike 我拿到了小程序源码，你一个 jwt 能阻挡我模拟你的请求吗

@lambdaq 这种情况下，我的理解是 wasm 就是一个类库，userid 还是要传递参数进去，别人按照我的方式同样调用就行了

@jadelike 我怀疑你没懂我要做什么，jwt 不管是加密还是不加密，肯定要下发给用户的，前端拿到直接再提交就行，根本不需要解密，我是要阻止有人在我的小程序之外恶意调用我的接口

@jadelike jwt 肯定不行的，因为这太容易绕过去了

@iOCZ 你说这话，说明你没有价值呀

@zhcode 不确定能不能行，如果别人不破解 wasm ，直接复制了我的 wasm,直接调用加密方法就行了吧

@worldqiuzhi 不行，因为我肯定是登录之后，才刷接口，就像签到一样

@opentrade whois 跟用不用阿里云没关系吧？

还有一点，不能让人根据单号猜出每天的单量