PHP调用小程序云函数本质是通过HTTP触发器发起HTTPS请求,需开启HTTP触发器、配置服务密钥、设置IP白名单,并在云函数端解析event.body;替代方案为云调用API,但需access_token且兼容性有限。
PHP 调用小程序云函数的本质是 HTTP 请求
小程序云函数本身不对外暴露直接调用入口,PHP 无法像在云开发环境内那样用 cloud.callFunction 直接调用。必须通过「云函数的 HTTPS 访问地址」发起请求,而这个地址需提前在云开发控制台开启「HTTP 触发器」并发布为「已上线」状态。
常见错误现象:404 Not Found(没开 HTTP 触发器)、401 Unauthorized(未携带合法 X-WX-SERVICE-KEY)、502 Bad Gateway(云函数未发布或超时)。
- 云函数必须在「云开发控制台 → 云函数 → 设置 → HTTP 触发器」中启用,并复制生成的
https://xxx.tcloudbase.com/xxx地址 - 必须在「安全配置」中添加 PHP 服务器的公网 IP(或设为 0.0.0.0/0 临时调试),否则请求会被拒绝
- 请求 Header 中必须包含
X-WX-SERVICE-KEY,值为云开发控制台「设置 → 安全配置 → 服务密钥」中生成的密钥(不是环境 ID 或 AppID) - 推荐使用
cURL发起 POST 请求,Body 为 JSON 格式,内容即云函数接收的event参数
以下是最小可行代码,注意替换真实地址、密钥和参数:
$url = 'https://your-service-id.tcloudbase.com/hello';
$data = json_encode(['name' => 'php-client', 'timestamp' => time()]);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_HTTPHEADER, [
'Content-Type: application/json',
'X-WX-SERVICE-KEY: your_service_key_here'
]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($httpCode === 200) {
echo $response; // 云函数返回的 JSON 字符串
} else {
echo "HTTP error: $httpCode";
}
关键点:Content-Type 必须为 application/json;curl_setopt($ch, CURLOPT_POSTFIELDS, $data) 中的 $data 是字符串而非数组;云函数内部收到的是解析后的 event 对象,不是原始 POST body。
云函数端需适配 HTTP 触发的 event 结构
HTTP 触发的云函数,其 event 参数结构与客户端调用不同——它会多一层封装,含 headers、pathParameters、body 等字段。PHP 传入的 JSON 数据实际落在 event.body 字符串里,需手动 JSON.parse(Node.js)或 json_decode(PHP 云函数)。
- 若云函数是 Node.js 编写,需写
const data = JSON.parse(event.body)才能拿到 PHP 传的name和timestamp - 若云函数是 PHP 编写(支持),则用
$data = json_decode($event['body'], true) - 不要直接访问
event.name,那是客户端直调才有的扁平结构 - HTTP 触发默认超时 60 秒,若云函数执行时间长,需在控制台将超时时间调高(最大 900 秒)
替代方案:用云调用 API(需开通并鉴权)
如果不想暴露 HTTP 触发地址,也可走微信官方「云调用」API,但前提是你的 PHP 服务能获取有效的 access_token,且云函数已配置为「云调用可触发」。
流程是:PHP → 获取 access_token(调用 https://api.weixin.qq.com/cgi-bin/token)→ 调用 https://api.weixin.qq.com/tcb/invokefunction,Body 包含 env、name、data。
该方式更安全,但复杂度高:需维护 access_token 缓存与刷新逻辑,且仅支持部分云开发环境(如腾讯云云开发),微信自己的云开发暂不开放此接口给第三方服务器调用。
真正容易被忽略的是:HTTP 触发器一旦开启,就等同于把云函数变成一个公开 Web 接口,所有参数、返回、错误信息都可能被嗅探。生产环境务必校验 X-WX-SERVICE-KEY、限制来源 IP、对敏感数据做签名或加密,不能只靠“密钥藏在代码里”。
