这是不行的,不安全,攻击者是可以获得 appsecret 的,正确的做法是放在服务器端,客户端需要什么数据,由服务器端处理好了之后返回给客户端。
为了避免用户将 appsecret 放在客户端,微信也禁止将 http://api.weixin.qq.com 作为服务器域名配置,这样正式环境就小程序就无法直接访问 http://api.weixin.qq.com,由于无法访问,开发者就应该感知到,即使放了 appsecret 也没用,就应该把 appsecret 从客户端移除。
微信这篇文章也说了这个事:https://developers.weixin.qq.com/miniprogram/dev/api/api-network.html
