数据分析有人可能刷用户，基本连续的时间内快一万人，openid不一样 ，其他信息一样（机型等），无法确定该openid是否合法，担心是通过伪造code，开发者如何验证该用户在微信端是存在的？？

你好，现在开发微信公众号发现金红包功能，在接口调试过程中报错。 我们这边有个特殊情况，我们是通过调用亚博松公司提供的发红包接口，亚博松再调用微信的发红包功能，在我们商户后台设置了允许调用的IP为亚博松对外出口IP，但是返回的是IP地址非你在商户平台设置的可用IP地址。 我们也修改过商户后台配置的IP为公司外网IP，也是不行。希望能给指明方向。 下面如入参和出参  微信APP下单接口提交信息： <xml> <nonce_str>f7b8a0b0253411e94355f1b37b0a0924</nonce_str> <act_name>活动名称</act_name> <scene_id>PRODUCT_4</scene_id> <sign>B11AC769DE6A0585494F39F351138789</sign> <remark>新年红包！</remark> <wishing>过年红包</wishing> <mch_id>1343239101</mch_id> <wxappid>wx5b048de7a35fd764</wxappid> <mch_billno>12324553333333222</mch_billno> <re_openid>oaB0BuJYLidWjAp5hLojNHw4gWn8</re_openid> <total_amount>100</total_amount> <send_name>红包</send_name> <total_num>1</total_num> <client_ip>121.43.96.217</client_ip> </xml> 出参是： end发送红包返回:<xml><err_code>NO_AUTH</err_code><err_code_des>IP地址非你在商户平台设置的可用IP地址</err_code_des><mch_billno>12324553333333222</mch_billno><mch_id>1236228802</mch_id><re_openid>oaB0BuJYLidWjAp5hLojNHw4gWn8</re_openid><result_code>FAIL</result_code><return_code>SUCCESS</return_code><return_msg>IP地址非你在商户平台设置的可用IP地址</return_msg><total_amount>100</total_amount><wxappid>wx33724bfa8765420d</wxappid><sign>8E30B7679E58410904A7834AB507F538</sign></xml>

您好。我们小程序有一个投票功能，为了防止投票接口恶意被刷，我们用了前后端md5（参数+约定key）, 加密方式。但是发现我们的小程序可能被反编译，通过我们后台日志分析，sign参数的加密方式完全正确。我们之所以认为他是恶意接口，是因为这个ip或者openid没有任何其他浏览日志，只有投票接口日志。 万般无奈之下，我们决定尝试用wx.login拿code当参数传进来。 每次投票不仅要传递sign签名参数和登陆时openid参数，还会传递code(用wx.login获取一个新的code)。服务端用code即时拿openid，并对比这个openid与传进来的openid参数是否一致。理论上，恶意刷投票接口的程序应该拿不到正确当code才对。但经过日志分析，我们升级此方案后，刷票行为大约停止了1天。然后又很快被破解。 1天后，又出现了，同ip或openid没有其他浏览日志，只有投票日志。并且投票日志中带的code参数也顺利换取了openid。 注1：我们小程序登陆之后的每个接口，都带了openid参数。所以能分析出某个openid的行为浏览日志。 注2：我们用了jwt。token字段是每个接口都有的。对方会批量注册很多账号，都是真实有效的微信号。会把我们的token和对应的openid保存起来。我们token的有效期确实也有点长。 注3：对方刷票不是说随便刷，就是一个openid肯定只能刷一票，但对方有很多openid。并且每个都是注册进来的，真实有效的。服务端有IP防刷，但对方基本上刷3，4票，换一个IP。 注4：也排出羊毛党刷单群这种，因为这种肯定有其他的浏览记录，不可能直接调投票接口。 注5: 我们后台通过行为日志肯定能分析出被刷票的作品，但不能随意取消作品，怕别人是恶意被刷。 注6: 就是不理解刷子是如何拿到正确的code。

最近使用wx.login获得的code作为鉴权凭证之一，但从昨天开始有大量僵尸帐号通过code鉴权成功，有以下几个疑问： 部分页面已设置sitemap不索引，官方还会有爬虫爬取吗？wx.login获得的code会按小程序进行隔离吗？是否存在低成本批量获取code的方案？对于反爬，官方有没有推荐的方案呢？