存是没问题的，但是为啥存userId。。。不应该存token或者jwtToken么。。

用户允许登录后，回调内容会带上 code（有效期五分钟），开发者需要将 code 发送到开发者服务器后台，使用code 换取 session_key api，将 code 换成 openid 和 session_key

我觉得应该是这么个流程，拿到code调接口换取 token，存储token信息，需要校验的接口要带上，token过期后，重新获取token

userid直接存在本地肯定是不安全的，如你说的，自增长，别人改了就不行了。在微信里用openid做用户识别，接口拿到可以存在sessionStorage里，这没有问题。或者再进一步，后端将openid、时间截生成一个token返回给你前端，你再将这个token存在sessionStorage，后面所有操作，将这个token给接口判断就行了

我都是存的。openid用于云开发数据库没问题，但是用来访问自己的服务器时，有安全问题。

存起来没什么问题呀