send-coupon组件的out_request_no参数规则有漏洞吧，这个参数是邀请每个劵批次id下每隔用户只能领取一次，也就是说同一个out_request_no只要不同的账户也是可以直接使用并生成相同的sign的（亲自尝试验证过），这个插件发劵时调的接口中能看到sign的，假如把这个sign保存下来，别人就可以通过脚本生成多个虚拟的微信号然后都使用这个sign进行领劵操作了，这样会有恶意刷劵的情况（尽管刷出来的劵可能在虚拟账号上不能用，但是会给发劵方造成很大影响）

send-coupon组件的out_request_no参数规则有漏洞吧，这个参数是要求每个劵批次id下每个用户只能领取一次，也就是说同一个out_request_no只要不同的账户也是可以直接使用并生成相同的sign的（亲自尝试验证过），这个插件发劵时调的接口中能看到sign的，假如把这个sign保存下来，别人就可以通过脚本生成多个虚拟的微信号然后都使用这个sign进行领劵操作了，这样会有恶意刷劵的情况（尽管刷出来的劵可能在虚拟账号上不能用，但是会给发劵方造成很大影响）

小程序接入微信支付，昨天开始申请的，现在截图是这样的，是代表正在申请还是已经申请成功了？ [图片]

场景： 小程序a制劵（折扣劵），小程序b代发劵，请问这种情况小程序b需要开通什么？然后发劵调哪个API？

场景是，注册一个海外的微信小程序，然后想配置.app后缀的一个域名可以吗？（之所以想到注册海外是因为这个域名的后缀，国内好像没办法进行ICP备案，所以想问一下如果是海外的小程序，是不是就允许配置.app后缀的域名了？）