欢迎来到雄杰鑫电商资讯网
技术教程

微信卡券回调PHP怎么接收_处理卡券事件推送参数方法【详解】

看不見的法師 次阅读
必须用 file_get_contents('php://input') 获取原始 XML 数据,再结合 $_GET['msg_signature']、$_GET['timestamp']、$_GET['nonce'] 及 Token 按指定顺序 SHA1 签名验证,通过后方可解析 XML 提取 Event、CardId、UserCardCode 等字段。

微信卡券事件推送的原始数据怎么获取

微信服务器向你的 PHP 后端推送卡券事件(如用户领券、核销、删除)时,**不会以 $_POST$_GET 形式传递参数**,而是通过 HTTP POST 以 XML 格式直接发送原始 body 数据。这意味着:$_POST 始终为空,file_get_contents('php://input') 是唯一可靠入口。

  • 必须用 file_get_contents('php://input') 读取原始请求体,不能依赖 $_POST
  • 微信签名验证前,**不能先调用 simplexml_load_string() 或其他解析操作**,否则可能因非法 XML 导致脚本崩溃,失去验证机会
  • 若使用框架(如 Laravel、ThinkPHP),需确认是否自动解析了请求体;Laravel 中应使用 $request->getContent(),而非 $request->all()

如何正确验证微信推送签名

微信要求你校验 msg_signaturetimestampnonce 和原始 XML 内容四者联合签名,缺一不可。失败即说明不是微信官方推送,应直接丢弃。

  • 从 URL 参数中提取三个关键值:$_GET['msg_signature']$_GET['timestamp']$_GET['nonce']
  • 原始 XML 数据(来自 php://input)必须**原样参与签名计算**,不能提前 trim()htmlspecialchars() 或转码,否则签名不匹配
  • 签名算法是 SHA1,拼接顺序为:token . timestamp . nonce . xml(注意:不是按字母序,也不是含空格)
  • PHP 示例中务必使用 sha1(),而非 md5()hash('sha256', ...) 
function checkSignature($xml, $msgSig, $timestamp, $nonce, $token) {
    $tmpArr = array($token, $timestamp, $nonce, $xml);
    sort($tmpArr, SORT_STRING);
    $tmpStr = implode($tmpArr);
    return sha1($tmpStr) === $msgSig;
}

解析 XML 后如何提取关键卡券事件字段

签名通过后才能安全解析 XML。微信卡券事件的 结构固定,但不同事件(user_get_carduser_consume_carduser_delete_card)携带的子节点差异大,需按 EventCardId 区分处理逻辑。

  • Event 字段决定事件类型,值为字符串,如 user_get_card(领券)、user_consume_card(核销)
  • CardId 是卡券唯一 ID,用于查库关联优惠规则;OrderId 仅在核销事件中存在,对应商户订单号
  • UserCardCode 是用户所持该卡的唯一编码,每次领券生成一个新码,**不是用户 openid** —— 核销时必须用它查卡状态
  • 注意 IsGiveByFriend(是否他人转赠)和 FriendUserName(转赠人 openid),影响权益归属判断
$xml = file_get_contents('php://input');
$obj = simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA);
$event = (string)$obj->Event;
$cardId = (string)$obj->CardId;
$userCardCode = (string)$obj->UserCardCode;

常见失败原因和调试建议

线上收不到推送、验签失败、解析出空值——90% 源于这几个点。

  • 服务器返回非 200 状态码(如 500、404、301),或响应体含多余空格/UTF-8 BOM,微信会判定回调失败并停止推送
  • PHP 开启了 always_populate_raw_post_data(已废弃)或设置了 enable_post_data_reading = Off,导致 php://input 为空
  • 未在微信公众号后台「卡券功能」→「事件通知」中开启对应事件,或填写的 URL 域名未备案 / 未配好 HTTPS(微信强制要求)
  • 本地调试时用微信「开发者工具」模拟推送,但没把 msg_signature 等参数拼到 URL 上,造成验签必然失败

最稳妥的调试方式:在验签前先记录原始 php://input$_GET 到日志文件,再比对签名逻辑 —— 卡券回调的容错极低,差一个字符就全盘失效。

微信 后端 微信公众号 算法 工具 html 线上 而非 php 事件 https 编码 Token 字符串 timestamp http 或其他 状态码 xml Event bom input 用它 这几个 后才 为空 回调 商户 lsp laravel thinkphp 所持

相关文章

按ESC键退出。