存是没问题的，但是为啥存userId。。。不应该存token或者jwtToken么。。

我觉得应该是这么个流程，拿到code调接口换取 token，存储token信息，需要校验的接口要带上，token过期后，重新获取token

userid直接存在本地肯定是不安全的，如你说的，自增长，别人改了就不行了。在微信里用openid做用户识别，接口拿到可以存在sessionStorage里，这没有问题。或者再进一步，后端将openid、时间截生成一个token返回给你前端，你再将这个token存在sessionStorage，后面所有操作，将这个token给接口判断就行了

我都是存的。openid用于云开发数据库没问题，但是用来访问自己的服务器时，有安全问题。

存起来没什么问题呀