微信的绝大部分服务端api接口都是在URL中传递token的。

想抓包的放body里一样能被抓到，你想要安全目前的话云调用是相对比较安全的方法，通过微信内免鉴权外人无法获取。