1、如果直接通过接通过/getUserInfo?id=1拉取到微拉取到微信用户id为1在我们业务侧的个人信息那么黑客就可以通过遍历所有的id，把整个业务侧的个人信息数据全部拉走

openid不具有随机性，所以openid不能像codesession_key，或者appsecret那样成为安全的私密信息黑客完全可以越过微信官方自己尝试枚举碰撞。如果你的系统直接接受外界提供的openid来确认鼡户身份那么的确存在“业务的所有个人数据被全部拉走”的风险。

所以解决办法是你的系统不能直接信任openid而是自行生成自建登录态來映射这个openid。自建登录态只要加入简单的随机性就能有效防止碰撞攻击

2、这个临时身份证5分钟后会过期，如果黑客要冒充一个用户的话那他就必须在5分钟内穷举所有的身份证id，然后去开发者服务器换取真实的用户身份显然，黑客要付出非常大的成本才能获取到一个用戶信息

临时身份凭证code，微信官方保证其随机性而且有效期只有5分钟，能有效防止黑客枚举碰撞攻击

黑客只有在破解自身客户端的情況下才有可能拿到code，但是那也只能拿到自己的微信账号对应的code对系统并没有危害。