网络安全
HTTPS 解决的不是“好看”,而是传输过程是否可信。
小程序把手机号、预约信息、订单信息发给后端时,中间不能被随便偷看或篡改。HTTPS 就是保护这条通道的基础设施。
一个 HTTPS 请求里有三件事
| 组成 | 作用 | 常见错误 |
|---|---|---|
| 域名 | 让用户和小程序找到你的服务 | 用 IP 直接访问,无法配置合法域名 |
| 证书 | 证明这个域名对应的服务器可信 | 证书过期、证书链不完整、域名不匹配 |
| 反向代理 | 通常由 Nginx 接收 HTTPS,再转发给后端服务 | 转发路径错误、端口没开、超时配置太短 |
真实部署里,后端程序可能只监听本机端口,例如 4173;外部用户访问的是 Nginx 提供的 HTTPS 域名。
上线前检查顺序
01域名能解析到服务器
02证书覆盖当前域名
03Nginx 能转发到后端
04接口返回正确内容
05配置到小程序后台
密钥、AppSecret、支付证书、数据库密码都不能写进小程序前端代码。凡是会影响账号、资金和数据安全的配置,都应该放在后端或服务器环境变量里。
让 AI 排查 HTTPS 问题时要给什么
给出域名、访问 URL、浏览器或 curl 报错、Nginx 配置片段、后端监听端口、证书到期时间。只说“HTTPS 不行”,AI 很难判断是证书、DNS、代理还是后端服务的问题。