通过扫描二维码获取密码锁密码，如何保证安全的。

你是说旧款小黄车那种方式？我的猜想：
1. 二维码包含一个 URL 以及一个设备号码
2. 如果是客户端扫描，那直接带着自己的账号 token 以及设备号请求后台地址返回就行了
3.别的二维码根据扫码，那就只能打开 URL 显示页面，页面上再做相关逻辑
4.安全？ 请求数据加密一下吧！

@mcluyu 先谢谢老哥，具体是这样的需求。这是一个送礼的过程 ，用户完成送礼的操作时，会把礼物封装在一个带密码锁的盒子内，收货人收到后就是扫描二维码，送礼人就获取开锁密码告诉受礼人。

我现在的想法就是 URL 就是订单 ID+sign，然后限制的这个接口的访问次数，刷的 IP 就直接封了什么的。但是这样做好像这个请求只能走 get 吧，因为请求的内容都在二维码里面。

你可以自己搞一个 app 或小程序啊，通过自己的 app 扫码，然后再去请求，想走 get 就 get，想走 post 就 post，不走 http 都行啊，而且请求内容都不用放到二维码里。二维码仅仅和盒子绑定就行了。

我比较赞同楼主的，二维码就是 url + 设备 id, 相关判断逻辑都在后台进行，id 第一次被访问就是加锁，送礼者绑定自己的手机号。第二次被访问就是解锁，根据 id 找到绑定的手机号，根据 id 查到箱子密码发到这个手机号，over。