我们小程序办了个增粉活动，这2天新增了几十万粉丝，但是微信后台才几万，查下去发现有很多非通过我们小程序直接调接口的（没有行为日志，却插入了数据），但是我们是有做用户限制的，只有真实的通过wx.login获取的code获取的openid才可以正常参加活动，查下去我们数据库中的用户数量确实是有几十万，看上去都是真实的账号，因为都是通过code才能插入的，但是微信后台才几万，我们继续核查下去，确实有几十万没昵称、没头像的，而参加我们活动是一定会授权这些信息并且入库的，所以这些数据像是批量制造了code 然后直接调用了我们的活动接口。可是这些code又都是真实有效的样子，请问是如何做到批量制造真实的wx.login的code的呢？？？？现在有点不知道怎么防范

差不多同一个时间点，同一个人邀请的新用户进来，是被刷脚本了？ 后台都是通过code进行session_key的换取，查了一下union_id 和open_id 没有问题，但是头像都是一个，不知道是否有真实的微信用户？ [图片] [图片]