腾讯文档扫描小程序码两端登录的安全风险

在腾讯文档 Web 端，可以扫描小程序码登录。扫描后，微信打开小程序的同时，Web 端也登录了。这种方式挺有新颖的，还能给小程序引流，有心人可以发掘下更多玩法，不过今天我想讨论另外一个问题。

上文的 Web 扫码登录，这并不是 OAuth 授权方式，这应该是通过小程序码的 场景二维码 实现的： Web 端登录二维码是带参数的场景二维码，打开小程序的时候，小程序接收到自定义参数，后端找到对应的 Web 会话，完成登录。

这里的问题是，扫描场景二维码打开腾讯文档小程序的时候，该小程序里并没有任何关于正在登录 Web 端的提示，与扫描普通二维码的交互无异；而且普通的小程序码和带参数的小程序码，单独看是没办法分辨的，普通用户更加不会留意。

这其中就有了安全风险了：

1. 我打开腾讯文档 Web 端，拷贝登录二维码备用
2. 发送微信给某人，编一段话术，诱导扫描二维码
3. 对方扫描进入小程序，这时我已经窃取对方文档了，对方毫不知情

更好的方式：

每次扫描登录 Web 端，小程序应该给出提示，并且可以显示所有会话信息，提供「下线」操作。