在开发小程序的过程中，登录是一个入口场景，基本每个开发者都会遇到，

那么在开发过程中，我们知道

 既然openid是唯一的，那我为什么不能用openid作为凭证，还要麻烦的用个第三方session

其实我之前也一直不明白，今天看了下面这个例子，顿时豁然开朗

有可能造成数据越权。

比如今天我通过我的手机登录了微信，打开了小程序。但是明天有个朋友想用我的手机登一下微信。如果用openid作为登录凭证，登录小程序的时候检测到openid已经存在，所以不会再走登录过程，这样我的数据就让我的朋友看到了。所以还是要按照官方推荐的步骤来。

### 20191224

https://developers.weixin.qq.com/community/develop/doc/0002a028214de86e94079941551800

小明同学很稀罕同桌小花，有天看到小花在某个微信公众号写日记，好巧，猥琐的小明看到并记住了小花的开屏密码。等课间小花同学出去时，将她手机开机并打开了那个公众号，进入了个人中心。

哎呀，时间不够看呀，于是选择了用浏览器打开看到了URL。

你说巧不巧，这个站竟然在URL里有个openid的传值，没有登陆鉴权。

小明用他无比迅捷的手速把url发给了自己的号，还不着痕迹地打扫了战场。

以后的日子里，小明时刻都能通过点击那个url翻看小花的日记，真是爽煞，发起了向女神攻心的神级技能。