问小程序request中如何在服务端验证session，确认用户访问是合法的？

小程序的request数据，到业务服务器的ctx里，是没有用户验证信息的，如果直接在小程序端存openid和session有点太危险了，登录用wx。getStorageInfo取到的appsession如何在服务器校验呢？或者wafer里有没提供更简单的验证用户身份的方法。request中并没有who字段，很头疼