17370845950

快手小程序POST默认为application/x-www-form-urlencoded，需手动解析；签名验证须用X-Kuaishou-Timestamp与php://input原始体；授权code须调快手OAuth2接口换token；支付回调必须返回纯'success'且状态码200。

快手小程序的 POST 数据不是标准 JSON，而是 application/x-www-form-urlencoded

快手小程序调用 wx.request 发起请求时，默认 content-type 是 application/x-www-form-urlencoded（除非显式设置为 application/json）。这意味着 PHP 里不能直接读 php://input 或期待 $_POST 是解析好的 JSON 对象——它其实是 URL 编码的键值对。

常见错误现象：
• file_get_contents('php://input') 返回空字符串
• $_POST 是空数组或只含部分字段
• json_decode(file_get_contents('php://input'), true) 返回 null

• 检查小程序端是否设置了 header: { 'content-type': 'application/json' }；如果没设，服务端就按表单方式接收
• 若小程序传的是 JSON.stringify({a:1,b:2}) 但没改 header，PHP 收到的是类似 data=%7B%22a%22%3A1%2C%22b%22%3A2%7D 的字符串，需手动 urldecode($_POST['data']) 再 json_decode
• 推荐做法：小程序统一用 content-type: application/json，PHP 用 json_decode(file_get_contents('php://input'), true) 解析

快手签名验证必须校验 X-Kuaishou-Signature 和 X-Kuaishou-Timestamp

快手服务器在回调（如支付结果通知、用户授权回调）中会带上两个关键 header：X-Kuaishou-Signature（HMAC-SHA256 签名）和 X-Kuaishou-Timestamp（秒级时间戳）。不校验就等于开放接口给任意请求调用。

签名规则是：hmac_sha256($timestamp . $raw_body, $app_secret)，其中：
• $timestamp 是 header 中的 X-Kuaishou-Timestamp
• $raw_body 是原始未解析的请求体（file_get_contents('php://input')），不是 $_POST 或 $_GET

• 务必先获取原始 body：

  file_get_contents('php://input')

  ，且不能在之前调用 $_POST 或 $_REQUEST，否则 PHP 会提前解析并清空输入流
• 签名比对前要严格判断时间戳是否在 5 分钟有效窗口内，防止重放攻击
• 注意：快手的 $app_secret 是你在快手开放平台配置的「服务端密钥」，不是小程序的 app_secret（后者仅用于前端 SDK 初始化）

PHP 接收快手授权回调时，code 需用 https://open.kuaishou.com/oauth2/authorize 换取 access_token

快手小程序调用 wx.login() 得到的 code，不能直接拿去微信接口换 token——它只对快手有效。必须用快手开放平台的 OAuth2 接口，且请求方式为 POST，参数需放在 body 中（不是 query string）。

• 请求地址：https://open.kuaishou.com/oauth2/token
• 必需参数：grant_type=authorization_code、code（从小程序拿到）、client_id（快手分配的 app_id）、client_secret（服务端密钥）
• PHP 示例（使用 cURL）：

  $url = 'https://open.kuaishou.com/oauth2/token';
  $data = [
      'grant_type' => 'authorization_code',
      'code' => $_GET['code'],
      'client_id' => 'your_kuaishou_app_id',
      'client_secret' => 'your_kuaishou_app_secret'
  ];
  $ch = curl_init();
  curl_setopt($ch, CURLOPT_URL, $url);
  curl_setopt($ch, CURLOPT_POST, 1);
  curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  $response = curl_exec($ch);
  curl_close($ch);

• 返回成功后，access_token 有效期 2 小时，refresh_token 可用于续期（需保存）

快手支付回调通知的 notify_url 必须返回 success 字符串且 HTTP 状态码为 200

快手支付完成后的服务器回调（notify_url）是强同步机制。如果你的 PHP 脚本执行完没输出 success，或输出了其他内容（比如调试 var_dump、HTML 标签、BOM 头），快手会判定失败并持续重试（最多 5 次）。

• 最简响应写法：

  echo 'success'; exit;

  ，前面不能有任何 echo、print、var_dump，也不能有空白字符或 UTF-8 BOM
• 建议在逻辑处理前加 ob_end_clean(); 清除缓冲区，避免意外输出
• 日志记录必须用 error_log() 或写文件，绝不能输出到响应体
• 快手要求响应时间 ≤ 3 秒，复杂逻辑（如查库、发消息）建议丢进队列异步处理，响应体立即返回 success

快手接口的坑主要在「默认 content-type 不是 JSON」「签名依赖原始 body」「响应体容错极低」这三点。只要在接收层守住这三道关，后续业务逻辑就和普通 PHP 接口没区别。