Composer仅用于企业微信后端PHP服务依赖管理,不可用于前端H5页面;前端需通过引入JS-SDK或npm构建,后端用composer安装PHP SDK(如wechat-group/wechat)调用API,敏感操作必须由PHP代理。
Composer 不能直接用于企业微信(WeWork)的前端页面开发,也不参与企业微信 JS-SDK 的运行时调用——它只在服务端 PHP 环境中管理依赖。如果你看到“用 composer 引入企业微信官方 API 包”,那一定是指后端 PHP 服务需要调用企业微信开放接口(如发送消息、获取用户信息、审批等),此时才用得上 composer。
为什么不能在企业微信前端 H5 页面里用 composer
composer 是 PHP 的依赖管理工具,运行在服务端 CLI 或构建环境中;而企业微信内嵌的 H5 页面运行在手机浏览器或 WebView 中,只认 JavaScript、HTML 和 CSS。你在前端写 require 或执行 composer install,会直接报错或根本无意义。
常见误解场景:
- 误以为在
index.html里require('we-work-sdk')能工作 → 实际需用引入 UMD 版本或通过npm+ 构建工具 - 把企业微信 JS-SDK(
wx.config/wx.agentConfig)和 PHP 后端 SDK 混为一谈 - 试图在企业微信「应用主页 URL」填一个
composer.json所在目录 → 服务器不会自动执行composer install,也不会解析 PHP
正确做法:用 composer 安装企业微信 PHP SDK(官方推荐)
企业微信官方维护的 PHP SDK 是 wechaty/wework(注意不是 overtrue/wechat,后者主攻微信公众号),但更常用、文档更全的是社区高星包:yanhao01/wechat(支持企业微信全部基础 API)或 qiniu/php-sdk 类似风格的轻量封装。不过最稳妥的选择仍是官方 GitHub 仓库:Wechat-Group/wechat-php-sdk(含企业微信模块)。
实操命令(PHP 7.4+,已安装 Composer):
composer require "wechat-group/wechat:~6.0"
安装后,在你的 PHP 后端接口中初始化企业微信客户端:
$app = \EasyWeChat\Factory::work([
'corp_id' => 'wwxxxxxxxxxxxxxx',
'secret' => 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx',
'guzzle' => ['timeout' => 5.0],
]);关键点:
-
corp_id和secret必须从企业微信管理后台「应用管理 > 自建应用」里复制,不是企业 ID(wwxxx开头那个才是) - 不要把
secret写死在前端 JS 里,否则等于公开接口权限 - 所有敏感操作(如发消息、读通讯录)必须由你自己的 PHP 接口代理,前端仅传参、不碰 token
如何让前端 H5 和后端 PHP 协同调用企业微信能力
典型流程:H5 页面 → 请求你自己的 PHP 接口 → PHP 调用企业微信 API → 返回结果给前端。例如签名配置:
前端要调用 wx.agentConfig,必须先向你后端请求签名:
GET /api/wx-config?jsapi_ticket=xxx&url=https%3A%2F%2Fxxx.com%2Fpage
后端 PHP 响应 JSON:
{
"appId": "wwxxxxxxxxxxxxxx",
"timestamp": 1712345678,
"nonceStr": "abcd1234efgh5678",
"signature": "a1b2c3d4e5f6..."
}这个签名过程必须由 PHP SDK 完成(用 jsapi_ticket + url 计算),不能前端算——因为 jsapi_ticket 需要 corp_secret 换取,且有两小时有效期,必须服务端缓存并刷新。
容易踩的坑:
- 没校验
url参数是否与当前页面 URL 完全一致(含协议、端口、# 后参数都不能带)→ 签名失败 - PHP 接口未设置 CORS,导致前端 fetch 被拦截 → 加
header('Access-Control-Allow-Origin: *');(上线前限制域名) - 企业微信应用「可信域名」没配全(比如配了
api.xxx.com却忘了xxx.com)→ JS-SDK 初始化直接报 config:invalid url
替代方案:不用 composer,改用纯 HTTP 封装(适合简单场景)
如果项目不用框架、不想引入 SDK,也可以跳过 composer,直接用 PHP curl 调企业微信 REST API:
$url = 'https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=wwxxx&corpsecret=xxx'; $result = json_decode(file_get_contents($url), true); $access_token = $result['access_token'];
但要注意:
- 自己处理
access_token缓存(建议 Redis 或文件存储),不能每次请求都重新拉 - 错误码如
40014(不合法的corpid)、40001(secret错)要主动判断并记录日志 - 企业微信所有 POST 接口 body 必须是
application/json,且中文字段要用 UTF-8,别用 GBK
真正卡住人的往往不是 composer 装不装得上,而是搞不清「哪段逻辑该放前端、哪段必须藏在 PHP 后面」。企业微信的权限体系是服务端校验的,前端越权操作没有任何意义,也绝无可能绕过。
