必须用 file_get_contents('php://input') 获取原始 XML 数据,再结合 $_GET['msg_signature']、$_GET['timestamp']、$_GET['nonce'] 及 Token 按指定顺序 SHA1 签名验证,通过后方可解析 XML 提取 Event、CardId、UserCardCode 等字段。
微信服务器向你的 PHP 后端推送卡券事件(如用户领券、核销、删除)时,**不会以 $_POST 或 $_GET 形式传递参数**,而是通过 HTTP POST 以 XML 格式直接发送原始 body 数据。这意味着:$_POST 始终为空,file_get_contents('php://input') 是唯一可靠入口。
file_get_contents('php://input') 读取原始请求体,不能依赖 $_POST
simplexml_load_string() 或其他解析操作**,否则可能因非法 XML 导致脚本崩溃,失去验证机会$request->getContent(),而非 $request->all()
微信要求你校验 msg_signature、timestamp、nonce 和原始 XML 内容四者联合签名,缺一不可。失败即说明不是微信官方推送,应直接丢弃。
$_GET['msg_signature']、$_GET['timestamp']、$_GET['nonce']
php://input)必须**原样参与签名计算**,不能提前 trim()、htmlspecialchars() 或转码,否则签名不匹配token . timestamp . nonce . xml(注意:不是按字母序,也不是含空格)sha1(),而非 md5() 或 hash('sha256', ...)
function checkSignature($xml, $msgSig, $timestamp, $nonce, $token) {
$tmpArr = array($token, $timestamp, $nonce, $xml);
sort($tmpArr, SORT_STRING);
$tmpStr = implode($tmpArr);
return sha1($tmpStr) === $msgSig;
}签名通过后才能安全解析 XML。微信卡券事件的 user_get_card、user_consume_card、user_delete_card)携带的子节点差异大,需按 Event 和 CardId 区分处理逻辑。
Event 字段决定事件类型,值为字符串,如 user_get_card(领券)、user_consume_card(核销)CardId 是卡券唯一 ID,用于查库关联优惠规则;OrderId 仅在核销事件中存在,对应商户订单号UserCardCode 是用户所持该卡的唯一编码,每次领券生成一个新码,**不是用户 openid** —— 核销时必须用它查卡状态IsGiveByFriend(是否他人转赠)和 FriendUserName(转赠人 openid),影响权益归属判断$xml = file_get_contents('php://input');
$obj = simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA);
$event = (string)$obj->Event;
$cardId = (string)$obj->CardId;
$userCardCode = (string)$obj->UserCardCode;线上收不到推送、验签失败、解析出空值——90% 源于这几个点。
always_populate_raw_post_data(已废弃)或设置了 enable_post_data_reading = Off,导致 php://input 为空msg_signature 
等参数拼到 URL 上,造成验签必然失败最稳妥的调试方式:在验签前先记录原始 php://input 和 $_GET 到日志文件,再比对签名逻辑 —— 卡券回调的容错极低,差一个字符就全盘失效。