access_token,的作用无非是获取openId,和用户信息如果只是做登录,确实不需要access_token,因为已经有openid或者uid跟你的用户对应起来了。但是,这是授权行为啊,意味这第三方应用可以拿着access_token去获取你的用户信息,所以这里就需要时效性来保证安全了。如果没有时效性的的保证,那么只要用户授权一次...