PHP无法调用小程序人脸识别,仅负责校验小程序传回的encryptData、iv、randomNumber等字段:先获取有效session_key,再AES-128-CBC解密,最后SHA256验签或时效校验。
PHP 无法直接调用小程序端的人脸识别能力,因为小程序人脸识别(如 wx.startFacialRecognitionVerify)是纯前端 API,运行在微信客户端内,不经过服务器;所谓“PHP 对接人脸识别”,实际是指:后端 PHP 接收小程序传递的验证结果(或用于验签的随机数、加密数据),完成服务端校验逻辑。
小程序端必须先调起 wx.startFacialRecognitionVerify
这是整个流程的起点,PHP 不参与调起过程,但必须理解其输出结构:
- 调用成功后,小程序会拿到一个
result对象,含verifyResult(布尔)、encryptData(Base64 字符串)、iv(AES 解密用)、randomNumber(用于签名比对) -
encryptData是微信用你的appid和后台配置的session_key加密的用户实名信息(含姓名、身份证号脱敏值等),不是原始人脸图像 - 小程序需将这四个字段(尤其是
encryptData、iv、randomNumber)通过 HTTPS POST 发送给你的 PHP 接口
PHP 后端要做的三件事:解密 + 验签 + 校验
收到小程序 POST 数据后,PHP 必须依次完成:
- 从微信开放平台后台获取当前有效的
session_key(注意:它有时效性,且与登录态绑定,不能复用旧的) - 用
openssl_decrypt(AES-128-CBC)解密encryptData,密钥为session_key,IV 为iv;解密失败说明密钥不匹配或数据被篡改 - 用
randomNumber+session_key+appid拼接后计算 SHA256,与小程序传来的signature(如有)比对;若无signature字段,则必须校验randomNumber是否在有效期内(微信要求 5 分钟内使用)
示例关键解密片段(需自行补全错误处理):
立即学习“PHP免费学习笔记(深入)”;
$encryptedData = base64_decode($data['encryptData']); $iv = base64_decode($data['iv']); $sessionKey = 'your_session_key_from_wechat_api'; // 必须实时获取 $decrypted = openssl_decrypt($encryptedData, 'AES-128-CBC', $sessionKey, OPENSSL_RAW_DATA, $iv);
常见报错和踩坑点
绝大多数问题出在 session_key 或加解密环节:
-
openssl_decrypt returns false:90% 是session_key过期或错误;检查是否用了登录态里的session_key,而非硬编码或缓存的旧值 -
data not valid或 JSON 解析失败:解密后内容为空或乱码,确认encryptData和iv是否被 URL 编码/截断(小程序 POST 前要用encodeURIComponent处理?不,应保持原 Base64 字符串,后端接收时避免自动 urldecode) - 返回
errCode: 87014(“解密失败”):微信侧校验失败,说明你传给它的randomNumber未在 5 分钟内使用,或拼接签名时大小写/空格不一致 - 不要试图用 PHP 调通摄像头或做活体检测——那属于小程序端职责;PHP 只负责可信链路的终点验证
真正难的不是写几行解密代码,而是确保 session_key 的生命周期管理、网络传输中 Base64 安全性(避免 + / = 被破坏)、以及微信签名规则的严格复现。少一个字节的空格,就解不出数据。
