- 临时登录凭证code的作用机制到底是怎样的？直接获取微信用户id的做法有什么问题呢 教程中专门阐述了这个问题，https://developers.weixin.qq.com/ebook?action=get_post_info&token=935589521&volumn=1&lang=zh_CN&book=miniprogram&docid=000cc48f96c5989b0086ddc7e56c0a#_ftn5，但是不能很好地帮助理解，特别是： 如果直接通过wx.login获取微信用户id。假设现在我们有个接口，通过wx.request请求 https://test.com/getUserInfo?id=1拉取到微信用户id为1在我们业务侧的个人信息，那么黑客就可以通过遍历所有的id，把整个业务侧的个人信息数据全部拉走。 这个临时身份证5分钟后会过期，如果黑客要冒充一个用户的话，那他就必须在5分钟内穷举所有的身份证id，然后去开发者服务器换取真实的用户身份。显然，黑客要付出非常大的成本才能获取到一个用户信息。 怎么遍历、穷举?是穷举openid吗？ 所谓冒充一个用户是怎么冒充？ 按这个意思就是5分钟之内要拿这个code去一遍又一遍地换取openid，拿什么去换？肯定是要登录一个微信才能去操作啊。 比较混乱，希望有专业清晰的解答。