PHP对接小程序客服消息需实现签名验证、XML消息解析和access_token缓存三件套:验证时严格按TOKEN+timestamp+nonce排序SHA1比对signature并原样返回echostr;接收用php://input解析XML;token需本地/Redis缓存并校验过期时间。
php 对接小程序客服消息,本质是「被动接收 + 主动回复」的双向 HTTP 服务,不是调个 SDK 就完事——必须自己实现签名验证、消息解析、access_token 管理和消息转发三件套,缺一不可。
如何验证微信服务器推送的 signature(最常卡住的一步)
微信在启用消息推送时,会向你的 URL 发起 GET 请求,带 signature、timestamp、nonce 和 echostr 四个参数。你必须原样返回 echostr,否则后台显示“配置失败”。
- 验证逻辑必须严格按微信规则:把
TOKEN、timestamp、nonce三者拼成数组 →sort(..., SORT_STRING)→implode→sha1→ 比对signature - 常见翻车点:
-
TOKEN写错或大小写不一致(微信后台填的和代码里用的必须完全一样) - 忘了
exit或die,导致后续代码继续执行并输出额外字符(比如空格、BOM、调试 echo),造成响应体污染 → 微信判定验证失败 - 使用了
$_REQUEST而非明确取$_GET,某些 Nginx + PHP-FPM 配置下$_REQUEST会混入 POST 数据干扰验证
-
$token = 'your_token_here'; // 必须和微信公众平台后台填的一致 $signature = $_GET['signature'] ?? ''; $timestamp = $_GET['timestamp'] ?? ''; $nonce = $_GET['nonce'] ?? ''; $echostr = $_GET['echostr'] ?? '';
$tmpArr = [$token, $timestamp, $nonce]; sort($tmpArr, SORT_STRING); $tmpStr = sha1(implode($tmpArr));
if ($tmpStr === $signature && !empty($echostr)) { echo $echostr; exit; // ⚠️ 必须 exit,不能 return 或继续执行 }
为什么推荐用 XML 格式而非 JSON 接收消息
虽然后台界面允许选 JSON,但2026 年实测仍存在兼容性问题:微信在发送 JSON 消息时,HTTP 响应头仍发 Content-Type: text/xml,而 PHP 的 json_decode($raw, true) 对含 BOM 或换行的原始 body 敏感,容易解析失败;XML 则稳定得多,且官方文档和示例都以 XML 为基准。
- 后台配置务必选「XML 格式」,Token 和 EncodingAESKey 可选填(若选「兼容模式」则 AES 解密可暂不实现)
- 接收时用
file_get_contents('php://input')获取原始数据,再用simplexml_load_string()或自定义xml2Array()解析 - 若坚持用 JSON,请手动检查原始请求体是否合法 JSON(用
json_last_error()),并确保 Nginx/Apache 未对请求体做自动转义或截断
如何安全地获取并缓存 access_token(避免频繁调用被限流)
access_token 是调用微信客服接口(如 https://www./link/4a9a32256809fc17cd9e68e5f6feb3ed)的凭据,有效期 2 小时,每小时最多调用 2000 次。直接每次请求都去拉 token,不出三天就触发风控。
- 正确做法:首次获取后存到文件/Redis/数据库,并记录过期时间戳(
time() + 7200),下次请求先查缓存,过期再刷新 - 不要用
session或$_COOKIE存,它们是用户级的,无法跨请求共享 - 示例关键判断:
$cache_file = '/tmp/wx_access_token.php'; if (file_exists($cache_file)) { $cached = include $cache_file; // 返回 ['token' => 'xxx', 'expires_at' => 17378xxxx] if ($cached['expires_at'] > time()) { return $cached['token']; } } // 调用 API 获取新 token,写入 $cache_file
转发客服消息时,text/image 类型怎么处理才不丢内容
用户发来的文本直接取 $msg['Content'] 即可;但图片消息(MsgType === 'image')不是 base64 或 URL,而是 MediaId —— 它只是个临时 ID,需用该 ID 向微信服务器换真实图片:
- 调用接口:
https://www./link/77a2b7573a53becb7ba74e3b166bc2bf - 响应是二进制图片流,需用
file_put_contents()保存为本地文件,再生成可访问的 URL(如/uploads/img/xxx.jpg) - 切勿把
MediaId直接当图片地址返回给前端,它 3 天失效,且仅限微信内网访问
最后提醒一句:所有客服消息接口(包括发送)都要求 touser 是用户的 openid,不是 unionid,也不是小程序 login 返回的 code —— 这个 openid 来自消息体里的 FromUserName 字段,别从 session 或数据库乱查。
