必须通过服务端发起HTTP请求调用网易易盾文本检测API,使用POST提交JSON数据并携带HMAC-SHA1签名的X-YD-Signature请求头;签名需按POST\ncontent-type\ntimestamp\nrequest-path\nbody-md5格式拼接后计算,timestamp为毫秒级且偏差≤5分钟,content-type须严格为application/json; charset=utf-8,body-md5为JSON字符串的MD5小写值。
怎么调用网易易盾文本检测 API 获取审核结果
网易易盾的文本风险检测不是纯客户端 SDK,必须通过服务端发起 HTTP 请求,使用 POST 提交 JSON 数据到指定接口,并携带有效签名。直接在前端用 JS 调用会暴露密钥,不可行。
关键步骤:获取 secretId 和 secretKey → 拼接待签名字符串 → 生成 HMAC-SHA1 签名 → 构造请求头 X-YD-Signature 和 X-YD-Timestamp → 发起请求。
- 接口地址通常是:
https://www.php.cn/link/1f58b5ce3e6444b0f94cdccab62090a2/v1/text/check(以控制台实际为准) - 必须使用
Content-Type: application/json; charset=utf-8 -
timestamp必须是毫秒级 Unix 时间戳,且与服务器时间偏差不能超过 5 分钟,否则返回401 Unauthorized - 文本内容需放在
data字段中,且长度不能超过 10000 字符(超长需分段)
PHP 中怎么生成合法的 X-YD-Signature 签名
易盾要求签名基于 HMAC-SHA1,但和常见签名不同:它对「拼接后的原始字符串」做哈希,而非对 URL 编码后参数排序再拼。容易在这里出错。
原始签名串格式为:POST\n<code>content-type\ntimestamp\nrequest-path\nbody-md5,其中 body-md5 是请求体(JSON 字符串)的 MD5 小写值。
立即学习“PHP免费学习笔记(深入)”;
-
content-type必须严格为application/json; charset=utf-8(注意空格和分号) -
request-path是接口路径,不含域名和查询参数,例如/v1/text/check - PHP 中用
hash_hmac('sha1', $signStr, $secretKey, true)得到二进制签名,再base64_encode()输出 - 别漏掉换行符
\n—— 每一行末尾都要有,共 5 行,最后一行也有\n
PHP 示例:提交文本并解析返回结果
以下是最简可用的同步检测代码,已避开常见空数组、编码、签名失败问题:
<?php
$secretId = 'your_secret_id_here';
$secretKey = 'your_secret_key_here';
$text = '这个商品支持七天无理由退货,假一赔十!';
<p>$timestamp = round(microtime(true) * 1000);
$path = '/v1/text/check';
$body = json_encode([
'secretId' => $secretId,
'data' => $text,
'dataType' => 1, // 1=文本
], JSON_UNESCAPED_UNICODE);</p><p>$bodyMd5 = md5($body);
$contentType = 'application/json; charset=utf-8';
$signStr = "POST\n{$contentType}\n{$timestamp}\n{$path}\n{$bodyMd5}\n";
$signature = base64_encode(hash_hmac('sha1', $signStr, $secretKey, true));</p><p>$headers = [
'Content-Type: ' . $contentType,
'X-YD-Signature: ' . $signature,
'X-YD-Timestamp: ' . $timestamp,
'X-YD-SecretId: ' . $secretId,
];</p><p>$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, '<a href="https://www.php.cn/link/1f58b5ce3e6444b0f94cdccab62090a2">https://www.php.cn/link/1f58b5ce3e6444b0f94cdccab62090a2</a>' . $path);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $body);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); // 生产环境应设为 true 并配置 CA</p><p>$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);</p><p>if ($httpCode === 200) {
$result = json_decode($response, true);
if (isset($result['code']) && $result['code'] === 200) {
echo "审核通过:" . ($result['result']['pass'] ? '是' : '否') . "\n";
echo "风险类型:" . implode(',', $result['result']['labels'] ?? []) . "\n";
} else {
echo "业务错误:" . ($result['msg'] ?? '未知错误') . "\n";
}
} else {
echo "HTTP 错误:{$httpCode}\n";
}
?>返回结果里哪些字段真正有用
别只看 code === 200 就以为检测成功——那只是 API 调用没崩。真正要关注的是 result 下的结构:
-
result.pass:布尔值,true表示未命中任何风险策略(非 100% 安全,仅表示当前规则未触发) -
result.labels:数组,每个元素含label(风险大类,如100表涉政)、level(1=轻度,2=中度,3=严重) -
result.suggestion:建议操作,pass/review/reject,比pass字段更贴近人工审核逻辑 - 如果
result为空或缺失,大概率是文本过短、含非法字符、或被风控拦截(比如高频调用没加callback)
注意:易盾不保证实时返回全部 label,部分场景(如新词、上下文强依赖)可能返回 review 并附带空 labels,这时不能跳过人工复审。
