PHP模拟POST请求与签名验证教程

PHP模拟POST请求需严格按服务端规则生成签名，常见坑包括键名排序、编码差异、时间戳精度、密钥处理等；签名须字节级一致，且需确认签名位置（Header/Body/URL），验签时应使用php://input并检查BOM、空格、密钥真实性。

PHP 模拟 POST 请求时，如果服务端要求参数签名（如 HMAC-SHA256、MD5 拼接、时间戳+nonce 等），光用 curl 发数据是不够的——签名错一个字符、少一个参数、时间偏差超 30 秒，都会返回 401 Unauthorized 或 invalid signature。

签名生成必须和服务器完全一致

签名不是“差不多对”，而是字节级严格匹配。常见坑包括：

• json_encode() 默认不排序键名，而签名常要求按 key 字典序拼接；
• 空格、换行、URL 编码方式不一致（比如服务端用 rawurlencode()，你用了 urlencode()）；
• 时间戳用的是 time()（秒级），但服务端校验的是毫秒或 UTC 时间；
• 密钥参与计算前被意外 trim() 或 base64_decode() 过。

建议先用服务端提供的签名样例（含原始参数、密钥、期望签名值），在 PHP 里逐行比对中间结果，而不是直接发请求。

curl POST 时别漏掉签名头或签名字段

签名可能放在 HTTP Header（如 X-Signature）、URL 查询参数（?sign=xxx），或作为 POST body 的一个字段（如 {"data":{...},"sign":"xxx"}）。确认清楚再写：

• Header 方式：用 curl_setopt($ch, CURLOPT_HTTPHEADER, [...]) 加入；
• Body 字段方式：若用 json_encode() 提交，确保 sign 是顶层字段且类型为 string；
• GET 参数方式：用 http_build_query() 拼完再手动追加 &sign=xxx，注意不要重复 urlencode。

示例（Header 签名）：

$headers = [
    'Content-Type: application/json',
    'X-Timestamp: ' . $timestamp,
    'X-Nonce: ' . $nonce,
    'X-Signature: ' . $sign
];
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);

PHP 里验证签名失败？先检查这三件事

如果你是接收方（即 PHP 要验签），失败通常不是算法问题，而是输入源没对齐：

• 原始数据来源是否干净？$_POST 会被 PHP 自动解析并丢弃原始 body，验签必须用 file_get_contents('php://input')；
• 是否忽略了不可见字符？比如前端传了带 BOM 的 JSON，或参数里混入了全角空格；
• 密钥是否被配置文件自动 trim() 或转义？建议用 var_dump($secret) 看实际长度和内容。

验签逻辑务必和文档/服务端代码逐行对照，尤其注意大小写（如 sha256_hmac 和 hash_hmac('sha256', ...) 结果一致，但拼接顺序不能反）。

签名逻辑看似简单，真正卡住人的永远是那些“应该一样但其实不一样”的细节——参数顺序、编码边界、时钟同步、body 原始性。动手前，先拿到服务端的明确签名规则原文，比对着写，比凭经验猜快得多。