微信对外号称小程序是免安装的, 我觉得是偷换概念。 当你在微信里安装一个小程序时, 实现过程是微信下载该小程序的脚本、资源等到本地, 然后解释执行(JavaScript的特点)。
PS: 小程序的免安装其实跟Android插件化类似, 从服务器下载资源包到本地后动态加载。
如何反编译小程序获得腾讯视频源码-谈小程序安全
如何获得微信小游戏跳一跳源码
参见上面2篇博客, 反编译小程序的成本只需要一台root后的Android手机,操作起来很简单。
现在做APP(Android/iOS)总是提MVC、MVP、MVVP等设计模式, 但大前端(Android/iOS/H5)在整个架构里的地位就是View层, 核心是后台服务(即Controller层)。 这也是做客户端开发人员的槽点, 大多数情况都是被做后台出身的老大管着。
在设计业务逻辑时, 客户端不保存敏感数据, 即使被反编译出源码也不影响业务的安全(当然我们要想尽办法避免该风险,例如客户端混淆代码、非对称加密、采用更安全的HTTPS协议等)。
因为JavaScript是解释执行的, 也就是说本地有完整的代码、布局、样式等等资源后才能正常运行, 这也是反编译门槛比Android、iOS低的原因。
简而言之, 小程序发布后是裸奔的, 能轻松反编译出所有的代码、资源等。