send-coupon组件的out_request_no参数规则有漏洞吧，这个参数是要求每个劵批次id下每个用户只能领取一次，也就是说同一个out_request_no只要不同的账户也是可以直接使用并生成相同的sign的（亲自尝试验证过），这个插件发劵时调的接口中能看到sign的，假如把这个sign保存下来，别人就可以通过脚本生成多个虚拟的微信号然后都使用这个sign进行领劵操作了，这样会有恶意刷劵的情况（尽管刷出来的劵可能在虚拟账号上不能用，但是会给发劵方造成很大影响）