小程序权限控制 - 移动开发平台 mPaaS

为了对 App 中小程序的可访问范围进行权限控制，您可在 mPaaS 控制台中为小程序添加 服务器域名白名单、API 调用白名单 以及 内嵌 WebView 域名白名单。开启了下图中的 小程序权限控制开关 后，只有加入白名单里的资源才可被当前小程序访问或使用。

服务器域名白名单：指 my.request 中目标服务器（入参 URL）的域名白名单。支持 HTTPS 协议，最多可添加 30 个域名。
API 调用白名单：小程序调用的 API 白名单。若开启了权限控制，则未加入该白名单的 API 无法被小程序成功调用。
说明：mPaaS 官网提供的 API 中默认已加入权限文件，无需配置，此处只需配置您的自定义 API。
内嵌 WebView 域名白名单：web-view 组件的访问地址白名单，支持 HTTPS 协议。

权限控制

前置条件

在页面上方，您可以通过下拉列表选择已有的小程序。选择后，下方会展示该小程序的名称及 AppId。

说明：在左侧的小程序包管理标签页中创建的小程序，会实时同步至此下拉列表中。

选择小程序

通过小程序权限控制开关，您可选择是否启用后续配置的 服务器域名白名单、API 调用白名单 以及 内嵌 WebView 域名白名单，以此实现对所选小程序的权限控制。

在下方的白名单配置区域，您可向白名单中添加服务器域名。

服务器域名白名单

登录 mPaaS 控制台并选择应用，在左侧导航栏中，选择 小程序 > 小程序发布。
选择 开放平台小程序管理 标签页，并在下方的 服务器域名白名单 标签页中点击添加。
在弹出的 添加服务器域名白名单 窗口中，输入以下信息：
- 域名：必填，此处仅支持 https 协议的服务器域名，对于非 https 的域名，在调用时会被拦截。
- 备注：选填，输入对此域名的描述信息，最多 200 个字符。
点击确定完成添加。说明：你最多可在白名单中添加 30 个服务器域名。

白名单列表中的服务器域名均支持编辑，点击右侧的操作列中的编辑，可更改服务器域名及其描述。

若要从白名单中删除该服务器域名，点击右侧的操作列中的删除，并在弹出的确认框中点击确定，即可删除此服务器域名。

删除确认

在下方的白名单配置区域，您可向白名单中添加小程序 API。

API 调用白名单

登录 mPaaS 控制台并选择应用，在左侧导航栏中，选择 小程序 > 小程序发布。
选择 开放平台小程序管理 标签页，并在下方的 API 调用白名单 标签页中点击添加。
在弹出的 添加小程序 API白名单 窗口中，输入以下信息：
- API：要添加至白名单中的 API。
- 备注：选填，输入对此 API 的描述信息，最多 200 个字符。
点击确定完成添加。

白名单列表中的 API 均支持编辑，点击右侧的操作列中的编辑，可更改 API 及其描述。

若要从白名单中删除该 API，点击右侧的操作列中的删除，并在弹出的确认框中点击确定，即可删除此 API。

删除确认

在下方的白名单配置区域，您可向白名单中添加内嵌 WebView 域名。

内嵌 WebView 域名白名单

登录 mPaaS 控制台并选择应用，在左侧导航栏中，选择 小程序 > 小程序发布。
选择 开放平台小程序管理 标签页，并在下方的 内嵌 WebView 域名白名单 标签页中点击添加。
在弹出的 添加 WebView 域名白名单 窗口中，输入以下信息：
- 域名：必填，此处仅支持 HTTPS 协议的服务器域名，对于非 HTTPS 的域名，在调用时会被拦截。
- 备注：选填，输入对此域名的描述信息，最多 200 个字符。
点击确定完成添加。

白名单列表中的 WebView 域名均支持编辑，点击右侧的操作列中的编辑，可更改 WebView 域名及其描述。

若要从白名单中删除该 WebView 域名，点击右侧的操作列中的删除，并在弹出的确认框中点击确定，即可删除此 WebView 域名。

删除确认