login登录时为什么不能直接获取用户id？而是要返回code？

看微信小程序官方指南时，看到了这么一段分析：

红色方框部分甚是不解：既然已经通过login拿到了code，『5分钟内穷举所有的身份id』又是什么意思？不应该是code+appid+appsecret换取用户id（openid）吗？所以应该是5分钟去穷举所有appid和appsecret，加上code换取用户id吧？如果是这个意思的话，关键应该是保护好appsecret就好了把，为什么需要获取code这一步骤呢？