必须用 file_get_contents('php://input') 获取原始 XML 数据,再结合 $_GET['msg_signature']、$_GET['timestamp']、$_GET['nonce'] 及 Token 按指定顺序 SHA1 签名验证,通过后方可解析 XML 提取 Event、CardId、UserCardCode 等字段。
微信卡券事件推送的原始数据怎么获取
微信服务器向你的 PHP 后端推送卡券事件(如用户领券、核销、删除)时,**不会以 $_POST 或 $_GET 形式传递参数**,而是通过 HTTP POST 以 XML 格式直接发送原始 body 数据。这意味着:$_POST 始终为空,file_get_contents('php://input') 是唯一可靠入口。
- 必须用
file_get_contents('php://input')读取原始请求体,不能依赖$_POST - 微信签名验证前,**不能先调用
simplexml_load_string()或其他解析操作**,否则可能因非法 XML 导致脚本崩溃,失去验证机会 - 若使用框架(如 Laravel、ThinkPHP),需确认是否自动解析了请求体;Laravel 中应使用
$request->getContent(),而非$request->all()
如何正确验证微信推送签名
微信要求你校验 msg_signature、timestamp、nonce 和原始 XML 内容四者联合签名,缺一不可。失败即说明不是微信官方推送,应直接丢弃。
- 从 URL 参数中提取三个关键值:
$_GET['msg_signature']、$_GET['timestamp']、$_GET['nonce'] - 原始 XML 数据(来自
php://input)必须**原样参与签名计算**,不能提前trim()、htmlspecialchars()或转码,否则签名不匹配 - 签名算法是 SHA1,拼接顺序为:
token . timestamp . nonce . xml(注意:不是按字母序,也不是含空格) - PHP 示例中务必使用
sha1(),而非md5()或hash('sha256', ...)
function checkSignature($xml, $msgSig, $timestamp, $nonce, $token) {
$tmpArr = array($token, $timestamp, $nonce, $xml);
sort($tmpArr, SORT_STRING);
$tmpStr = implode($tmpArr);
return sha1($tmpStr) === $msgSig;
}解析 XML 后如何提取关键卡券事件字段
签名通过后才能安全解析 XML。微信卡券事件的 user_get_card、user_consume_card、user_delete_card)携带的子节点差异大,需按 Event 和 CardId 区分处理逻辑。
-
Event字段决定事件类型,值为字符串,如user_get_card(领券)、user_consume_card(核销) -
CardId是卡券唯一 ID,用于查库关联优惠规则;OrderId仅在核销事件中存在,对应商户订单号 -
UserCardCode是用户所持该卡的唯一编码,每次领券生成一个新码,**不是用户 openid** —— 核销时必须用它查卡状态 - 注意
IsGiveByFriend(是否他人转赠)和FriendUserName(转赠人 openid),影响权益归属判断
$xml = file_get_contents('php://input');
$obj = simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA);
$event = (string)$obj->Event;
$cardId = (string)$obj->CardId;
$userCardCode = (string)$obj->UserCardCode;常见失败原因和调试建议
线上收不到推送、验签失败、解析出空值——90% 源于这几个点。
立即学习“PHP免费学习笔记(深入)”;
- 服务器返回非 200 状态码(如 500、404、301),或响应体含多余空格/UTF-8 BOM,微信会判定回调失败并停止推送
- PHP 开启了
always_populate_raw_post_data(已废弃)或设置了enable_post_data_reading = Off,导致php://input为空 - 未在微信公众号后台「卡券功能」→「事件通知」中开启对应事件,或填写的 URL 域名未备案 / 未配好 HTTPS(微信强制要求)
- 本地调试时用微信「开发者工具」模拟推送,但没把
msg_signature等参数拼到 URL 上,造成验签必然失败
最稳妥的调试方式:在验签前先记录原始 php://input 和 $_GET 到日志文件,再比对签名逻辑 —— 卡券回调的容错极低,差一个字符就全盘失效。
