invalid_signature 是因签名参数未按字典序拼接、未用 rawurlencode 编码或 timestamp/nonce 不合规所致;需严格遵循快手签名规则并校准本地时间。
快手小店 API 认证失败:invalid_signature 怎么修
调用 getGoodsList 或 getOrderList 时返回 invalid_signature,大概率不是密钥错了,而是签名生成逻辑漏了排序或编码细节。
快手要求所有请求参数(含 access_token、timestamp、nonce 等)必须按字典序升序拼接,且每个值要先做 rawurlencode(不是 urlencode),再拼成 key1=value1&key2=value2 形式,最后和 app_secret 一起用 hash_hmac('sha256', $string, $app_secret) 算签名。
-
timestamp必须是当前秒级时间戳(不是毫秒),且服务端校验窗口通常只有 5 分钟,本地时间不准会导致直接拒签 -
nonce要每次请求随机生成(建议用bin2hex(random_bytes(8))),不能复用,也不能带特殊字符 - 注意:
access_token是调用/auth/token换来的短期凭证,有效期 2 小时,过期后签名永远无效
PHP 调用 getGoodsList 返回空数组或 400 Bad Request
接口文档写“支持分页”,但实际必须传 page 和 page_size,缺一不可;而且 page_size 最大只认 50,设成 100 会静默截断为 50,但不报错——结果就是你查第 2 页以为能拿到 101–200 条,其实还是 51–100 条。
另外,快手的 getGoodsList 默认只返回「上架中」商品,草稿、下架、审核中状态的商品不会出现在结果里,也没提供 status 过滤参数。如果想查全量,得先调 getGoodsStatusList 拿 ID 列表,再逐个 getGoodsDetail 拉取。
立即学习“PHP免费学习笔记(深入)”;
- 请求 URL 必须带完整 query 参数,不能把
page放 body 里(POST 也不行) - Header 里必须有
Content-Type: application/json,即使 GET 请求也得带上 - 返回字段里
goods_price是字符串格式(如"29.90"),不是数字,PHP 用(float)转要小心精度丢失
PHP cURL 调用快手 API 的超时与重试陷阱
快手网关对单次请求响应时间限制很紧,经常在 3–5 秒内断连,尤其批量拉订单时容易触发 Connection timed out。直接设 CURLOPT_TIMEOUT=30 没用,因为底层 DNS 解析、TCP 握手、TLS 协商都算在总超时里。
更稳妥的做法是拆开控制:CURLOPT_CONNECTTIMEOUT_MS=2000(连接阶段最多 2 秒),CURLOPT_TIMEOUT_MS=8000(整个请求上限 8 秒),再配合简单指数退避:首次失败等 1s,第二次等 2s,第三次直接放弃。
- 别用
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false)绕过证书校验——快手线上环境强制校验证书,关了就SSL connect error - 快手域名
https://open.kuaishou.com在部分国内云主机上解析慢,建议加CURLOPT_DNS_CACHE_TIMEOUT=300复用 DNS 结果 - 返回 HTTP 状态码 429 不代表限流,而是你
access_token已失效,要重新走授权流程
商品数据里 sku_list 字段结构混乱怎么处理
快手返回的 sku_list 是个数组,但每个元素字段不统一:有的带 sku_id,有的只有 outer_sku_id;价格字段可能是 price、sale_price 或 market_price,取决于商品是否参与活动。硬写 $sku['price'] ?? 0 会漏掉真实售价。
正确做法是优先读 sale_price(活动价),不存在再 fallback 到 price,最后才是 market_price;而库存字段要看 stock_num,不是 inventory——后者是快手内部字段,文档没写但接口偶尔会返回,值恒为 -1,不能当真实库存用。
-
sku_list里可能混着已删除 SKU(status为deleted),得过滤掉,否则同步到自己系统会出错 - 图片地址字段名是
img_url,不是image或pic,且 URL 带防盗链参数,有效期约 1 小时,不能长期缓存原链接 - 注意:同一个商品多个 SKU 可能共用一个
goods_id,但outer_sku_id才是外部系统唯一标识,对接 ERP 时得用它做主键
快手电商 API 的坑不在鉴权多难,而在每个接口的隐性约定太多——比如某个字段看似可选,实则不传就走默认分支,而默认分支的数据范围极小;又比如错误码含义和 HTTP 状态码不严格对应,得结合 message 字段二次判断。留心 response body 里的 message 和 error_code,比光看 status 更可靠。
