php如何对接小程序客服消息_php转发客服消息流程【教程】

PHP对接小程序客服消息需实现签名验证、XML消息解析和access_token缓存三件套：验证时严格按TOKEN+timestamp+nonce排序SHA1比对signature并原样返回echostr；接收用php://input解析XML；token需本地/Redis缓存并校验过期时间。

php 对接小程序客服消息，本质是「被动接收 + 主动回复」的双向 HTTP 服务，不是调个 SDK 就完事——必须自己实现签名验证、消息解析、access_token 管理和消息转发三件套，缺一不可。

---

如何验证微信服务器推送的 signature（最常卡住的一步）

微信在启用消息推送时，会向你的 URL 发起 GET 请求，带 signature、timestamp、nonce 和 echostr 四个参数。你必须原样返回 echostr，否则后台显示“配置失败”。

• 验证逻辑必须严格按微信规则：把 TOKEN、timestamp、nonce 三者拼成数组 → sort(..., SORT_STRING) → implode → sha1 → 比对 signature
• 常见翻车点：
  • TOKEN 写错或大小写不一致（微信后台填的和代码里用的必须完全一样）
  • 忘了 exit 或 die，导致后续代码继续执行并输出额外字符（比如空格、BOM、调试 echo），造成响应体污染 → 微信判定验证失败
  • 使用了 $_REQUEST 而非明确取 $_GET，某些 Nginx + PHP-FPM 配置下 $_REQUEST 会混入 POST 数据干扰验证

$token = 'your_token_here'; // 必须和微信公众平台后台填的一致
$signature = $_GET['signature'] ?? '';
$timestamp = $_GET['timestamp'] ?? '';
$nonce = $_GET['nonce'] ?? '';
$echostr = $_GET['echostr'] ?? '';
$tmpArr = [$token, $timestamp, $nonce];
sort($tmpArr, SORT_STRING);
$tmpStr = sha1(implode($tmpArr));
if ($tmpStr === $signature && !empty($echostr)) {
echo $echostr;
exit; // ⚠️ 必须 exit，不能 return 或继续执行
}

---

为什么推荐用 XML 格式而非 JSON 接收消息

虽然后台界面允许选 JSON，但2026 年实测仍存在兼容性问题：微信在发送 JSON 消息时，HTTP 响应头仍发 Content-Type: text/xml，而 PHP 的 json_decode($raw, true) 对含 BOM 或换行的原始 body 敏感，容易解析失败；XML 则稳定得多，且官方文档和示例都以 XML 为基准。

• 后台配置务必选「XML 格式」，Token 和 EncodingAESKey 可选填（若选「兼容模式」则 AES 解密可暂不实现）
• 接收时用 file_get_contents('php://input') 获取原始数据，再用 simplexml_load_string() 或自定义 xml2Array() 解析
• 若坚持用 JSON，请手动检查原始请求体是否合法 JSON（用 json_last_error()），并确保 Nginx/Apache 未对请求体做自动转义或截断

---

如何安全地获取并缓存 access_token（避免频繁调用被限流）

access_token 是调用微信客服接口（如 https://www./link/4a9a32256809fc17cd9e68e5f6feb3ed）的凭据，有效期 2 小时，每小时最多调用 2000 次。直接每次请求都去拉 token，不出三天就触发风控。

• 正确做法：首次获取后存到文件/Redis/数据库，并记录过期时间戳（time() + 7200），下次请求先查缓存，过期再刷新
• 不要用 session 或 $_COOKIE 存，它们是用户级的，无法跨请求共享
• 示例关键判断：

  $cache_file = '/tmp/wx_access_token.php';
  if (file_exists($cache_file)) {
      $cached = include $cache_file; // 返回 ['token' => 'xxx', 'expires_at' => 17378xxxx]
      if ($cached['expires_at'] > time()) {
          return $cached['token'];
      }
  }
  // 调用 API 获取新 token，写入 $cache_file
  

---

转发客服消息时，text/image 类型怎么处理才不丢内容

用户发来的文本直接取 $msg['Content'] 即可；但图片消息（MsgType === 'image'）不是 base64 或 URL，而是 MediaId —— 它只是个临时 ID，需用该 ID 向微信服务器换真实图片：

• 调用接口：https://www./link/77a2b7573a53becb7ba74e3b166bc2bf
• 响应是二进制图片流，需用 file_put_contents() 保存为本地文件，再生成可访问的 URL（如 /uploads/img/xxx.jpg）
• 切勿把 MediaId 直接当图片地址返回给前端，它 3 天失效，且仅限微信内网访问

最后提醒一句：所有客服消息接口（包括发送）都要求 touser 是用户的 openid，不是 unionid，也不是小程序 login 返回的 code —— 这个 openid 来自消息体

里的 FromUserName 字段，别从 session 或数据库乱查。