首先，不能把jscode2session接口放在前端请求，应放在后端服务器里请求。防止SECRET暴露，这个问题很严重。

再者，你这个小程序是否有绑定在微信开放平台账号下？开放平台账号下除了这个小程序，是否还有其他的应用？比如公众号、移动应用app啥的？顺便检查下这些应用是否和开放平台同主体。