先看看文档

https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

2222.png
【图1】

由于上面的说明明确说不应该向客户端暴露session_key需要自行创建一个3rd_session(第三方session的意思)用于第三方服务器与客户通信校验。
api-login.2fcc9f35.png
【图2】
从上图中看到,当我们拿到了session_keyopenId以后应该怎么做呢?

3333333333.png
【图3】

处理办法

1、第一步可以将微信服务器返回的session_keyopenId入库。
2、在第三方服务器后台生成自已的session,以3rd_sessionkey,session_key + opneidvalue。或者将这两个返回值做为JWT方式返回给客户端存入storage,每次客户端请求服务器端时携带此参数与服务器端比对。

参考:https://blog.csdn.net/qq_31383345/article/details/54094021