PHP项目调用不到同盾固法模型评分结果,因其仅支持SDK(Java/Python)或HTTP接口(需白名单+签名认证),且必须通过独立域名/api.fawu.tongdun.cn/v1/transaction/evaluate路径,严格匹配字段、签名与授权配置。
同盾 AI 风控的 固法 模型不支持 PHP 直接调用评分接口——它只对签约客户开放 SDK(Java/Python)或 HTTP 接口(需白名单 + 签名认证),且交易数据必须通过同盾指定的 transaction 类型事件上报,不能混用通用风控接口。
为什么 PHP 项目调不到固法模型的评分结果
同盾「固法」是面向金融场景的定制化模型,其调用链路与标准 API 不同:
-
固法不走/v4/risk/decision这类通用决策接口,而是走独立域名(如https://api.fawu.tongdun.cn)下的/v1/transaction/evaluate路径 - 必须提前在同盾控制台完成「固法模型授权」+「IP 白名单配置」+「AK/SK 申请」,缺一不可
- 请求头必须带
X-TD-Date、X-TD-Nonce、X-TD-Signature三签名字段,PHP 若未按同盾文档实现 HMAC-SHA256 签名逻辑,会返回401 Unauthorized或403 SignatureInvalid - 交易数据字段命名严格匹配固法 schema,例如
orderAmount不能写成amount,payChannel必须是枚举值(wechat_pay/alipay/bank_card)
PHP 中能走通的最小可行调用结构
以下代码仅适用于已获授权、已配白名单、已拿到 accessKey 和 secretKey 的情况。注意:签名生成逻辑必须与同盾 Java SDK 的 SignUtils.sign() 行为完全一致。
function buildTdSignature($method, $uri, $params, $accessKey, $secretKey) {
$sorted = [];
foreach ($params as $k => $v) {
$sorted[] = rawurlencode($k) . '=' . rawurlencode($v);
}
sort($sorted);
$canonicalString = strtoupper($method) . "\n" . $uri . "\n" . implode('&', $sorted);
return base64_encode(hash_hmac('sha256', $canonicalString, $secretKey, true));
}
$timestamp = date('Y-m-d\TH:i:s\Z');
$nonce = uniqid('', true);
$data = [
'accessKey' => 'your_accesskey',
'timestamp' => $timestamp,
'nonce' => $nonce,
'transactionId' => 'TXN' . time() . '_' . rand(1000, 9999),
'orderAmount' => 299.00,
'payChannel' => 'wechat_pay',
'userId' => 'U123456789',
'ip' => $_SERVER['REMOTE_ADDR'] ?? '127.0.0.1',
'deviceFingerprint' => $_COOKIE['td_fp'] ?? 'fallback_fp'
];
$signature = buildTdSignature('POST', '/v1/transaction/evaluate', $data, $data['accessKey'], 'your_secret_key');
立即学习“PHP免费学习笔记(深入)”;
$ch = curl_init();
curl_setopt_array($ch, [
CURLOPT_URL => 'https://www.php.cn/link/2e2cd7615273534f691620f7033d6b76',
CURLOPT_POST => true,
CURLOPT_POSTFIELDS => json_encode($data),
CURLOPT_HTTPHEADER => [
'Content-Type: application/json; charset=utf-8',
'X-TD-Date: ' . $timestamp,
'X-TD-Nonce: ' . $nonce,
'X-TD-Signature: ' . $signature,
'X-TD-Access-Key: ' . $data['accessKey']
],
CURLOPT_RETURNTRANSFER => true,
CURLOPT_TIMEOUT => 10
]);
$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($httpCode === 200) {
$result = json_decode($response, true);
echo $result['riskScore'] ?? 'no riskScore';
} else {
error_log("Tongdun固法调用失败: {$httpCode} - {$response}");
}
常见报错及对应检查点
遇到错误时,优先确认以下几项:
-
400 Bad Request→ 检查transactionId是否重复、orderAmount是否为数字类型(不是字符串)、payChannel是否在固法支持列表内 -
401 Unauthorized→accessKey未激活,或控制台未开启「固法服务权限」 -
403 SignatureInvalid→ PHP 签名中$canonicalString拼接顺序/编码方式与同盾要求不一致(特别注意空格、换行、rawurlencode处理) - 返回
{"code":20001,"msg":"model not found"}→ 固法模型未部署到该环境(测试环境和生产环境模型 ID 不同,需单独申请)
固法模型对交易字段完整性要求极高,少传一个 deviceFingerprint 或传错 userId 类型(比如用了手机号当 userId 但合同约定用加密 UID),都会导致评分降级或直接拒分。上线前务必用同盾提供的「沙箱校验工具」跑一遍全字段。
