背景 我最近正好遇到这样子的需求，自己跟同事讨论一下，得出了一些结论，于是我就写下来方便其他遇到类似的问题。 需求 用户访问一个url,然后这个Url会调到公众号得到用户授权，然后获取openid，然后跳转到最终的展示页面。同事开发时候直接跳转了最终的展示页面，同时带了openid,却没有其他验证，我开始跑流程时候没有注意到这个逻辑，后面突然发现，你既然没有带任何验证，openid 又是固定，那么用户只要复制这最终的url，那么他后面就不需要任何授权。所以这个就一个非常巨大的安全问题。 解决方案 公众号回调接口时候…