请教各位大神一个问题，不知是否有人实现了，还望不吝赐教。

请先看开放能力时序图https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

在login后获取到openid和sessionkey，而后有程序服务端生成一个自定义登录态，假设生成一个sessionid。

下次进入或者访问其他页面的时候携带这个sessionid到服务器查询登录态。

那么问题来了：

这个sessionid如果被窃取了，我们不进行必要的验证的话是不是会泄露数据，如果进行验证，又从何验证？

因为我们的接口是开放的，黑客即使不通过checksession验证，也是可以访问的。

有没有高手考虑过或解决了这个问题呢？