QQ方面设计的是每个QQ账号对同一个ID的应用有同一个openid,即同一个QQ用户登录同一个应用时产生的openid是固定的。可以使用这一特性将openid作为同一个QQ号的登录凭证。
目前已知的是openid只和QQ号和应用的ID有关,但是无法通过openid获取QQ号,也不能通过QQ号和appid获取openid,唯一的方法是需要通过用户手动授权后获取。
本网站接口在获取原有openid的基础上增加了一层HMAC-SHA256加密,以确保即使是同一个QQ号登录同一个应用,但必须是同一个appkey才能获取同样的openid,这样确保了一方面不会泄露原始的openid,另一方面也能够实现不同appkey之间的隔离。