订阅号如何判断openid属于这个用户？

如题，流程是，订阅号用户发送关键字，后台在处理后通过xml中的fromusername获取openid，并拼接到url中返回给用户；也就是用户可以通过带openid的url和接口进行交互。

订阅号本身不可以通过网页授权，所以使用发送消息的方式获取openid，但目前的问题是，如果用户懂的话，可以通过修改url中的参数来达到造假openid的操作。

这个时候后台由于不能判断openid是否属于这个用户，导致该假openid保存成功。

故，订阅号如何判断openid属于这个用户？请各位支支招