From e801af609b3e076c07b033a267483a1454ab12d4 Mon Sep 17 00:00:00 2001
From: shinn-lancelot <945226793@qq.com>
Date: Wed, 12 Sep 2018 22:46:40 +0800
Subject: [PATCH] =?UTF-8?q?1.=20=E6=9B=B4=E6=96=B0README.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 README.md | 18 ++++++++++++++++--
 1 file changed, 16 insertions(+), 2 deletions(-)

diff --git a/README.md b/README.md
index 23cb75f..477880c 100644
--- a/README.md
+++ b/README.md
@@ -8,7 +8,7 @@
 ### 核心功能
 
 * 代理微信授权登陆并进行转发
-##### 请求源用get方式请求代理微信授权登录地址，代理服务器获取参数后向微信服务器发起请求，从而获取code或获取access_token及openid，最后代理服务器将转发回请求源。避免了微信公众号授权登录接口只能同时由同一域名发起的限制。
+    ##### 请求源用get方式请求代理微信授权登录地址，代理服务器获取参数后向微信服务器发起请求，从而获取code或获取access_token及openid，最后代理服务器将转发回请求源。避免了微信公众号授权登录接口只能同时由同一域名发起的限制。
 
 ### 其他特性
 
@@ -61,7 +61,21 @@
 * 若获取access_token，则无需再对access_token返回数据单独缓存。若部署在Linux服务器，由于需要创建目录及文件，所以项目需要修改权限。另外，php环境需要开启session、cookie。还有，由于获取access_token需要传递app_secret参数，为减小app_secret泄露的风险，代理地址建议启用https。
 * 后台可以添加接口调用安全域名（即请求来源，仅安全域名下的请求可正常进行接口调用）。不添加安全域名无限制。
 * 为了安全性，请及时修改管理员密码。
-
+* 管理员账号密码保存在common/user.json中。虽然密码已加密，为确保信息安全，建议使用Web服务器（比如apache、nginx）限制用户直接请求json文件。
+    ###### apache（httpd.conf）
+    ```
+    <FilesMatch \.(json)$>
+        Order allow,deny
+        Deny from all
+    </FilesMatch>
+    ```
+    ###### nginx（nginx.conf）
+    ```
+    location ~ .*\.(json)$ {
+        deny all
+    }
+    ```
+    
 ### 体验地址
 
 ##### 使用的是微信公众测试号的授权登录接口，仅供测试学习。进入后请先识别二维码关注测试号（测试号粉丝上限为100个）。<br>代理端url：http://wxoauth.hillpy.com/index.php<br>请求端url：http://test.hillpy.com/wxoauth/index.php<br>