微信小程序后端不必用PHP,但PHP完全可行;需提供HTTPS接口、正确处理签名加密并返回JSON,优势是部署简单、生态成熟。
微信小程序后端必须用 PHP 吗?
不是必须,但完全可行。微信小程序本身不绑定语言,只要你的 PHP 服务能提供符合规范的 HTTPS 接口、正确处理签名与加密、按时返回 JSON 就行。PHP 的优势在于部署简单、生态成熟(比如 php-curl、openssl 扩展默认可用),适合中小项目快速上线。
如何获取和校验小程序用户登录态(code2Session)
小程序调用 wx.login() 获取临时 code,后端用它向微信接口换 openid 和 session_key。关键点不是“怎么发请求”,而是“怎么防伪造”:
- 必须用后端发起请求,绝不能把
AppSecret暴露在前端或小程序代码里 - 微信返回的
session_key是敏感凭据,别存数据库明文,更别返回给前端;只用它解密手机号等敏感数据 - 自己生成的
token(比如 JWT)要绑定openid+ 时间戳 + 随机 salt,避免被复用
示例核心逻辑(使用 file_get_contents 或 curl 均可):
$url = 'https://api.weixin.qq.com/sns/jscode2session?' . http_build_query([
'appid' => 'your_appid',
'secret' => 'your_appsecret',
'js_code' => $_POST['code'],
'grant_type' => 'authorization_code'
]);
$result = json_decode(file_get_contents($url), true);
if (isset($result['openid']) && isset($result['session_key'])) {
// 生成你自己的登录态 token,不要直接返回 session_key
}
PHP 怎么解密小程序传来的加密数据(如手机号)
小程序调用 getPhoneNumber 后,前端传给你 encryptedData、iv 和 code。解密必须用上一步拿到的 session_key,且必须校验 encryptedData 的 pkcs#7 填充和 AES-128-CBC 模式:
立即学习“PHP免费学习笔记(深入)”;
- 确保 PHP 启用了
openssl扩展(php -m | grep openssl) -
session_key是 32 字节 base64 解码后的二进制,不是字符串;iv同理 - 解密后需校验
watermark.appid是否匹配你自己的 AppID,否则可能是被篡改的数据
简写解密片段(注意错误处理):
$sessionKey = base64_decode($sessionKeyBase64);
$iv = base64_decode($ivBase64);
$data = base64_decode($encryptedData);
$decrypted = openssl_decrypt($data, 'AES-128-CBC', $sessionKey, OPENSSL_ZERO_PADDING, $iv);
if ($decrypted === false) {
throw new Exception('Decrypt failed: ' . openssl_error_string());
}
$payload = json_decode($decrypted, true);
if (empty($payload['watermark']['appid']) || $payload['watermark']['appid'] !== 'your_appid') {
throw new Exception('Invalid watermark');
}
HTTPS、域名、服务器配置容易被忽略的坑
微信强制要求所有接口走 HTTPS,且域名必须在小程序后台「开发管理 → 服务器域名」中白名单备案。PHP 本身不关心 HTTPS,但这些细节常导致“本地能跑,上线 404 或 net::ERR_CONNECTION_REFUSED”:
- 用 Nginx/Apache 配置 SSL 时,确保证书链完整(尤其 Let’s Encrypt 的中间证书);用
curl -I https://yourdomain.com检查是否返回200 - PHP 的
allow_url_fopen若关闭,file_get_contents调用微信接口会失败,此时必须用curl - 小程序调用接口时,PHP 脚本开头加
header('Content-Type: application/json; charset=utf-8');,否则中文可能乱码,微信也可能拒绝解析 - 微信回调(如支付结果通知)是 POST 请求,且
Content-Type是text/xml,不能当成普通 JSON 处理;要用file_get_contents('php://input')读原始体
真正卡住人的,往往不是算法,而是证书过期、域名没备案、或 header 少写一个 charset。先让 https://yourdomain.com/api/test.php 返回 {"ok":1},再动业务逻辑。
