PHP对接微信小程序接口教程

PHP对接微信小程序核心是正确处理签名、加密与凭证，需自行缓存access_token防限流，严格校验域名、SSL证书，敏感信息用环境变量管理，并闭环管控token生命周期、code一次性、session_key时效及加密格式。

PHP 对接微信小程序接口，核心是调用官方 REST API 并正确处理签名、加密、凭证（access_token、jscode2session 等），不是装个 SDK 就能跑通——很多项目卡在 40001（invalid credential）或 40003（invalid openid）上，本质是 token 缓存逻辑错、code 复用、或 AES 解密失败。

获取 access_token 必须自己缓存，不能每次请求都调

微信限制 access_token 调用频次（2000 次/天），且有效期 2 小时。PHP 中若每次接口都走 https://api.weixin.qq.com/cgi-bin/token，很快触发限流，还会因时间差导致 token 过期混用。

• 用文件或 Redis 缓存 access_token 和过期时间（expires_in 字段值，单位秒），写入时附带时间戳
• 每次调用前先读缓存，检查是否剩余有效期 < 300 秒（5 分钟），不足则刷新
• 注意并发场景：多个请求同时发现 token 将过期，可能引发重复刷新；可用文件锁或 Redis SETNX 加锁避免
• 别把 access_token 写死在配置里，它会变，且不同环境（测试/正式）不同

jscode2session 返回 40029 或空 openid 的常见原因

小程序前端调 wx.login() 获取 code，后端用它换 openid 和 session_key。返回 40029（invalid code）不是接口写错了，而是 code 生命周期或使用方式不对。

• code 有效期 5 分钟，且**只能使用一次**；前端传错、后端重复用、或网络延迟导致超时都会失败
• 确保 POST 请求地址是 https://api.weixin.qq.com/sns/jscode2session，参数为 appid、secret、js_code、grant_type=authorization_code
• 不要对 js_code 做 URL 解码或 trim，微信返回的 code 是原始字符串，含大小写字母和数字
• 返回结果中若 openid 为空但有 unionid，说明该用户未关注公众号且非同一开放平台主体，需检查绑定关系

解密 encryptedData 得不到真实手机号或用户信息？检查 session_key 和填充方式

小程序调用 getUserProfile 或 getPhoneNumber 后，前端传 encryptedData + iv 给后端，PHP 需用当时换取的 session_key 解密。失败多半不是 OpenSSL 配置问题，而是 key 或 padding 不对。

• session_key 必须是换 openid 时拿到的那个，不能跨次复用；且要 base64_decode 后再用于解密（微信文档里给的是 base64 字符串）
• PHP 使用 openssl_decrypt 时，算法必须是 AES-128-CBC，$options 设为 OPENSSL_ZERO_PADDING，不能用 PAD_PKCS7
• 解密前确认 encryptedData 和 iv 都已 base64_decode；直接传 base64 字符串进去会解出乱码
• 解密成功后得到的是 JSON 字符串，需 json_decode；若结果为空数组，大概率是 session_key 错了或已过期（它和 access_token 一样有 2 小时有效期）

HTTPS、域名白名单、AppID/Secret 管理这些基础项最容易被忽略

开发阶段本地 http://localhost 调不通任何微信接口，所有回调、JS-SDK、登录态都依赖 HTTPS 和微信后台配置。很多 PHP 项目部署后才暴露这些问题。

• 后端接口域名必须在小程序「开发管理 > 服务器域名」中配置 request 合法域名，且协议、端口、路径都要匹配（https://api.example.com ≠ https://example.com/api）
• 微信不接受自签名证书，Nginx/Apache 必须配 Let’s Encrypt 或商业 SSL 证书；用 curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false) 是临时调试手段，上线必须关掉
• APPID 和 APPSECRET 别硬编码在代码里，用环境变量（$_ENV['WECHAT_APPID']）或配置中心管理；APPSECRET 泄露等于小程序控制权丢失
• 测试时用「体验版」或「开发版」的 AppID，正式版上线前务必切换，否则 access_token 和用户数据完全隔离

真正难的不是写几行 cURL，而是把 token 生命周期、code 一次性语义、session_key 时效性、加密参数格式这四点串成闭环。漏掉任意一环，接口就返回看似随机的错误码，排查时容易陷入“改一点、试一次、再报另一个错”的循环。