当前对于同一个小程序而言，用户的openid是唯一的。 所以假设： 自己的开发服务器维护openid与session_key的关系， 然后服务器与小程序通信直接用openid作为传参，有什么不妥吗？ 因为小程序微信登录的失效的失效与否，是通过wx.checksession来判断的。 为什么微信将 openid定义为敏感数据， PS: 感觉使用openid作为参数判断就相当于 站点对于用户的登录判断是依赖 一个不变的key来校验一个，所以有些不够安全。 【最佳实践】还是建议维护自定义的登录状态，不然会存在一定的风险。 【泄露场景】大家可以补充下吗？ 本地电脑代理抓包