小程序需通过HTTPS调用PHP提供的RESTful接口获取数据,PHP须设置JSON响应头、避免多余输出,且接口要支持跨域;openid和session_key必须由PHP后端用code向微信接口安全换取,session_key不得返回前端,应生成服务端token并存入数据库或Redis校验。
小程序如何调用 PHP 后端接口获取数据
微信小程序本身不能直接读写服务器文件或数据库,所有数据交互必须走 HTTPS 接口。PHP 作为后端,只需提供标准 RESTful 接口(如 /api/get_user.php),返回 JSON 即可被小程序 wx.request() 正常接收。
关键点在于:接口必须支持跨域(小程序不走浏览器同源策略,但需服务端明确响应头)、使用 HTTPS(未备案域名仅限开发环境调试)、且返回格式为合法 JSON(无 BOM、无多余输出)。
- 务必在 PHP 文件开头加
header('Content-Type: application/json; charset=utf-8'); - 避免在
echo json_encode(...)前有任何输出(包括空格、BOM、print、var_dump) - 调试时用
curl -I https://yourdomain.com/api/test.php检查响应头是否含Content-Type: application/json - 小程序端调用示例:
wx.request({ url: 'https://api.yourdomain.com/user', success: res => console.log(res.data) })
PHP 怎么安全接收小程序传来的 openid 和 session_key
小程序调用 wx.login() 获取的 code,必须由前端传给 PHP 后端,再由 PHP 向微信接口 https://api.weixin.qq.com/sns/jscode2session 换取 openid 和 session_key。这个过程绝不能在小程序前端做——密钥 appsecret 泄露即等于账号失控。
PHP 端需校验 code 长度(通常为 1-time、32 字符)、过滤非字母数字字符,并用 file_get_contents 或 cURL 发起 GET 请求。
立即学习“PHP免费学习笔记(深入)”;
- 请求地址拼接示例:
https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=APPSECRET&js_code=' . $code . '&grant_type=authorization_code - 微信返回异常时(如
errcode: 40029),PHP 应原样返回 JSON 给小程序,便于前端区分错误类型 -
session_key必须严格保密,禁止返回给前端;建议 PHP 生成自己的登录态(如 JWT 或加密 session_id)并存入数据库 - 注意微信接口有频率限制(单个
code只能兑换一次,5 分钟过期)
PHP 存储和验证小程序用户登录态的常见做法
微信的 session_key 不宜长期存储或直接用于业务鉴权,PHP 更推荐基于它生成一个服务端可控的登录凭证(比如 token),绑定 openid 和时间戳,再通过数据库或 Redis 维护有效性。
每次小程序发起业务请求(如提交表单),都应在 header 中携带该 token,PHP 接口先查库/缓存验证其存在性、未过期、且对应 openid 与当前操作一致。
- 生成 token 示例:
$token = hash_hmac('sha256', $openid . time(), $_ENV['TOKEN_SECRET']); - 数据库字段建议包含:
token(唯一索引)、openid、expire_time、last_active - 不要依赖 cookie——小程序
wx.request默认不带 cookie,需手动在 header 中传Authorization: Bearer xxx或自定义字段如X-Token - Redis 更适合做 token 过期管理:
SETEX user:token:xxx 3600 $openid
为什么小程序调用 PHP 接口总报 “request:fail ssl hand shake error”
这基本是 HTTPS 配置问题,不是代码逻辑错误。微信要求真机调试必须使用有效 TLS 证书(不能是自签名、不能过期、不能缺少中间证书链),且 PHP 所在服务器需支持 TLS 1.2+。
常见陷阱:Nginx/Apache 配置了 HTTPS,但没启用 ssl_protocols TLSv1.2 TLSv1.3;或证书由 Let’s Encrypt 生成但未正确合并 fullchain.pem;又或者用了云服务商的“免费 SSL”,但其证书不被微信信任(如部分国内 CDN 的共享证书)。
- 用
openssl s_client -connect yourdomain.com:443 -tls1_2测试是否握手成功 - 检查证书链完整性:
curl -I https://yourdomain.com看是否返回 200,同时用 SSL Checker 验证 - PHP 侧如果用
file_get_contents调用微信接口,也要确保 OpenSSL 扩展启用且版本 ≥1.0.2 - 本地开发可临时用
http://127.0.0.1+ 微信开发者工具「不校验合法域名」选项,但上线前必须切回 HTTPS
真正麻烦的不是调通第一个接口,而是 token 刷新机制、多端登录冲突处理、敏感数据加密方式、以及微信偶尔变更的 session_key 有效性规则——这些细节一旦漏掉,线上就容易出现“用户莫名掉登录”或“数据串户”。
