作为一个小程序开发的菜鸟，请确认个安全问题

小程序调用wx.login登录后，发送code给服务端获取openid和sessionkey，并拼装生成3rd_session，在服务端保存登录态即保存3rd_session，并将3rd_session发回给小程序，小程序这边保存到缓存里，要从服务端获取数据时，跟上这个3rd_session。

但服务端获得小程序传来的3rd_session后，也无法做任何防伪方面的验证，只要有3rd_session，即使从浏览器都可以直接向服务端获取数据，如何保证3rd_session不被截取呢，或者说如何保证小程序发送的请求参数无法被盗用，服务可以作防伪验证呢