各路大神路过请留步。

公司内部使用的小程序，通过openid判断权限，首次使用需要通过短信验证后绑定openid。

每次请求后端接口都需要附上openid(wx.login在后端获取后返回小程序)和在云函数生成的token，token有效期为2秒。。。目前运行比较平稳。。。

昨天各单位提出：

在小程序端可以新增账户，新账户A把openid提供给管理员，管理员通过在小程序输入并进行绑定。。

那么新账户A想要获得自己的openid，就得在小程序上展示。如果坏人拿到别人这个openid，会有什么隐患？？？