必须用后端发起HTTPS请求换取openid,传入appid、secret和前端获取的code,5分钟内有效;微信返回JSON格式,推荐cURL并设置超时和SSL验证,错误通过errcode判断,openid不可直接作长期用户ID,需映射业务表并注意session_key安全。
PHP 调用微信接口用 code 换取 openid 的正确姿势
不能直接靠前端传来的 code 就调微信接口——必须用后端发起 HTTPS 请求,且必须带上小程序的 appid、secret 和用户登录时前端获取的 code。微信校验的是服务端身份,不是前端请求来源。
-
code是一次性临时凭证,5 分钟内有效,用完即失效 - 必须用服务端发起请求,前端 JS 直接调
https://api.weixin.qq.com/sns/jscode2session会跨域失败,且暴露secret - 微信返回是 JSON,不是 HTML,别用
file_get_contents()不加 header 就硬读(可能被重定向或返回空) - 推荐用
cURL,显式设置Content-Type: application/json和timeout,避免超时卡住
PHP cURL 请求示例与关键参数说明
下面是最简可用的代码片段,重点在参数拼接和错误处理:
function getOpenidByCode($appid, $secret, $js_code) {
$url = 'https://api.weixin.qq.com/sns/jscode2session?' .
'appid=' . urlencode($appid) .
'&secret=' . urlencode($secret) .
'&js_code=' . urlencode($js_code) .
'&grant_type=authorization_code';
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); // 生产环境建议开启证书验证
$response = curl_exec($ch);
curl_close($ch);
return json_decode($response, true);
}
// 使用示例:
$result = getOpenidByCode('wx1234567890abcdef', 'your_secret_here', $_POST['code']);
if (isset($result['openid'])) {
echo $result['openid'];
} else {
error_log('WeChat openid fail: ' . json_encode($result));
}
-
grant_type=authorization_code是固定值,漏掉会返回{"errcode":40029,"errmsg":"invalid code"} -
urlencode()必须对$appid、$secret、$js_code分别编码,否则含特殊字符(如+)的code会导致签名失败 -
CURLOPT_SSL_VERIFYPEER在测试环境可关,但上线前务必设为true并配好 CA 证书,否则有中间人风险
常见错误响应及对应排查点
微信不返回 HTTP 错误码,而是统一 200 + JSON body,所有异常都在 errcode 字段里:
-
{"errcode":40029,"errmsg":"invalid code"}:最常见——code已过期 / 已使用过 / 前端传错字段名(比如传了res.code却没取值) -
{"errcode":40125,"errmsg":"invalid appid"}:appid和当前小程序不匹配,或填成了公众号的appid -
{"errcode":40126,"errmsg":"invalid secret"}:secret复制错了(注意有没有前后空格),或在微信公众平台重置过但没更新代码 -
{"errcode":45011,"errmsg":"reach max api daily limit"}:该appid的每日调用量超限(免费额度约 10 万次/日,但新账号初始较低)
换出来的 openid 能直接当用户 ID 吗?
不能直接当唯一用户标识长期存储——它只对当前小程序有效,且同一用户在不同小程序中 openid 不同。如果后续要支持多端(公众号 + 小程序 + APP),得用 unionid。
立即学习“PHP免费学习笔记(深入)”;
- 只有用户关注过该主体下的公众号,或使用过该主体下其他已绑定开放平台的小程序,才会返回
unionid - 若需
unionid,确保小程序和公众号同属一个微信开放平台账号,并在后台完成绑定 - 返回中没有
unionid是正常现象,不代表出错,别因此反复重试 - 生产环境建议把
openid和业务用户表做映射,而不是裸存;同时记录session_key(如有敏感解密需求),但它 2 小时过期,不可持久化
真正麻烦的是 session_key 的时效性与安全边界——它不能传给前端,不能写进 cookie,连日志里都不能明文打。这些细节比“怎么换”更决定系统是否扛得住真实流量。
