微信小程序后端需用SHA256+HMAC算法校验signature:按字典序排序nonce、timestamp、appsecret(非app_secret)并拼接,再用app_secret计算期望签名,同时校验timestamp时效性(如5分钟)和参数格式。
小程序调用 PHP 接口时怎么验证签名
微信小程序后端接口必须校验 signature,否则任何客户端都能伪造请求。PHP 侧不能只依赖 token 或 session,必须用小程序传来的 signature、timestamp、nonce 和你自己的 app_secret 重新计算比对。
关键点:签名算法是 SHA256 + HMAC,不是简单拼接 MD5;且参与签名的字段顺序、编码方式稍有偏差就会失败。
- 小程序端调用
wx.request前,必须通过wx.getSignature(或自行实现)生成三元组:signature、timestamp、nonce - PHP 后端收到请求后,取出这三个参数,连同已知的
app_secret,按字典序对 key 排序后拼接成字符串 - 用
hash_hmac('sha256', $str, $app_secret)计算期望签名,严格区分大小写和空格 - 注意:
timestamp需校验时效性(通常允许 5 分钟内),防止重放攻击
PHP 中如何安全拼接签名原文
微信文档里写的“将 nonce、timestamp、jsapi_ticket(或 app_secret)三个参数进行字典序排序并拼接”,但实际用于接口鉴权时,**不是 jsapi_ticket,而是你的小程序 app_secret** —— 这是高频踩坑点。
拼接前必须确保所有参数已 trim、URL 解码(小程序传参可能被 encode),且 key 名固定为小写:nonce、timestamp、appsecret(注意不是 app_secret 或 APPSECRET)。
立即学习“PHP免费学习笔记(深入)”;
$params = [
'nonce' => $_GET['nonce'] ?? '',
'timestamp' => $_GET['timestamp'] ?? '',
'appsecret' => $app_secret, // 注意这个 key 是 'appsecret',不是 'app_secret'
];
ksort($params);
$plain = implode('', $params); // 不加分隔符,直接拼
$expected = hash_hmac('sha256', $plain, $app_secret);
- 千万别用
http_build_query拼,它会加=和&,不符合微信要求 - 如果前端传的是 JSON body,记得先
json_decode(file_get_contents('php://input'), true)再取字段 - 某些代理或 Nginx 会自动解码 URL 参数,导致二次 decode 出错,建议统一用
rawurldecode()处理原始值
为什么 signature 总是校验失败
90% 的失败源于四类问题:参数名写错、时间戳未校验、大小写混用、secret 被意外修改。错误现象通常是 PHP 算出的 $expected 和小程序传的 $_GET['signature'] 完全不一致,且无法人工比对。
- 检查小程序端是否真的用了你当前环境的
app_secret(开发/体验/线上环境 secret 不同) - 确认
$_GET['timestamp']是整数字符串(如"1718234567"),不是浮点或带毫秒的时间戳 - 打印出拼接前的
$params数组和最终$plain字符串,和小程序端日志逐字符比对 - 微信签名不接受 UTF-8 BOM,确保 PHP 文件本身无 BOM(尤其 Windows 编辑器易插入)
要不要把鉴权逻辑封装成中间件
要,但别过早抽象。初期可直接在入口脚本顶部写校验逻辑,跑通后再抽成函数。强行套 Laravel / ThinkPHP 中间件反而增加调试成本——因为多数失败发生在参数解析阶段,中间件还没执行到就 400 了。
一个轻量可靠的封装示例:
function verifyWxMiniProgramRequest($app_secret, $allowed_window = 300) {
$nonce = $_GET['nonce'] ?? '';
$timestamp = (int)($_GET['timestamp'] ?? 0);
$signature = $_GET['signature'] ?? '';
if (!$nonce || !$timestamp || !$signature) {
return false;
}
if (abs(time() - $timestamp) > $allowed_window) {
return false;
}
$params = ['nonce' => $nonce, 'timestamp' => (string)$timestamp, 'appsecret' => $app_secret];
ksort($params);
$plain = implode('', $params);
return hash_equals($signature, hash_hmac('sha256', $plain, $app_secret));}
// 使用:
if (!verifyWxMiniProgramRequest($my_app_secret)) {
http_response_code(401);
exit('Unauthorized');
}
注意 hash_equals 防时序攻击,(string)$timestamp 避免数字转科学计数法,$allowed_window 单位是秒——这些细节漏掉一个,上线后都得翻日志查半天。
