我认为，如果在服务设置中，不开启“公网访问”，是不用考虑安全问题的，是吗？

目前我部署了一个spring boot项目到云托管环境中，为小程序提供REST API服务，支持小程序自身的功能。

目前的需求，我认为在生产环境下，REST API仅会被我的小程序调用，因此我完全可以不开启“公网访问”。

但是测试人员可能需要开启“公网访问”，使用他们熟悉的测试工具通过外网来测试。

那么在开启“公网访问”的情况下，我是否应考虑安全问题？

我能考虑到的方式，是在只有小程序调用需求的情况下，获取header 中的openid，然后去调用微信平台API，验证openid是否是微信平台的。