各位前辈，我第一次做小程序，从wx服务器拿到Openid后，在程序使用过程中都会用openid进行验证；开发文档中没有对openid的安全性的流程提出建议操作步骤。

1、现在想请问下Openid拿到后是存储在用户手机上，还是小程序每次打开实时拿到openid放在全局变量中呢？

2、如果openid只拿一次存储中用户手机上是否会有不安全因素？

3、每次用户登录实时拿到Openid+随机码返回给用户放在全局变量中，感觉服务器响应时间比较长，是怎么解决呢？

我现在的小程序采用的是第三方案。

请教各位前辈在实际操作中采用什么方案既有安全性也能兼顾性能呢？