这个二维码扫码的微信登陆，如果我没理解错的话，我当成是开放平台下注册的网站应用的微信网页登陆来讲。

撇开登陆二维码的有效期来说。

首先扫码手机确认后，前端页面会发生跳转，如果用户关闭掉绑定页面，那么这个前端的跳转就不会发生，没有跳转，登陆后的code也不会传到你的绑定api上。所以当你是使用微信网页登陆的跳转的时候，你能够认为，这个二维码只要用户关闭页面其实就失效了。其次绑定页面跳转的各类cookie，认证凭证的参数等等，都能很好的确保登陆的上下跳转。

再者，微信登陆这个界面，本身每隔一段时间，二维码就会自动（或者需要手动点击按钮触发）刷新，二维码变更后，也可以认为之前的二维码失效了。

所以这个二维码登陆的安全性，需要确保用户打开着绑定跳转的微信网站应用的登陆二维码页面，并且在页面更换二维码前或关闭页面前，二维码没有泄漏，并且用户在关闭页面前被扫描，这样才有可能出现误绑定的情况。