PHP需用$_GET['code']和$_GET['state']接收微信OAuth2回调参数,因回调为标准GET请求;须确保授权域名配置正确、Web服务器透传查询参数、state服务端缓存校验且不暴露敏感信息。
PHP 如何在微信授权回调中正确接收 _code 和 state
微信 OAuth2 授权回调 URL 会以 GET 参数形式携带 code 和 state(注意:参数名是 code,不是 _code;带下划线的写法是常见误解或框架自动重命名导致的)。PHP 必须用 $_GET['code'] 和 $_GET['state'] 直接读取,不能依赖 $_REQUEST 或 POST 解析方式。
- 微信回调请求是标准 GET,例如:
https://your.domain.com/callback.php?code=081U...&state=abc123 -
$_GET是唯一可靠来源;$_POST和file_get_contents('php://input')都为空 - 若收不到
code,先检查微信公众号后台「授权回调域名」是否配置正确(仅支持一级域名,不带http://或路径) - 某些 Nginx/Apache 配置会过滤含
code的参数(尤其旧版安全模块),可临时加日志验证:error_log(print_r($_GET, true), 3, '/tmp/wechat-callback.log');
为什么 $_GET['code'] 有时为 null 或空字符串
最常见原因是服务器启用了 URL 重写但未透传原始查询参数,或 PHP 被配置为禁用 $_GET(极罕见)。另一个高频场景是前端跳转时手动拼接 URL 却漏了 code —— 实际上该参数由微信服务器自动追加,你只需确保跳转链接是微信生成的完整授权 URL。
- 检查跳转前的 URL 是否包含
redirect_uri且已 urlencode,例如:https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx...&redirect_uri=https%3A%2F%2Fyour.domain.com%2Fcallback.php&response_type=code&scope=snsapi_base&state=abc123#wechat_redirect -
redirect_uri必须和公众号后台配置的**完全一致**(协议、域名、端口、路径),否则微信不返回code - Apache 的
mod_rewrite若使用RewriteRule未加[QSA]标志,会导致原始 query string 丢失 - Nginx 中需确认
try_files或fastcgi_param包含$query_string,例如:fastcgi_param QUERY_STRING $query_string;
state 参数必须校验,且不能只存 session
state 是防止 CSRF 的关键,但仅靠 $_SESSION['state'] 匹配不够健壮——用户可能多标签打开授权页,或 session 在并发请求中被覆盖。建议用服务端短期缓存(如 Redis)存储 state + 用户标识(如 IP 或随机 token),并设置 5 分钟过期。
- 生成
state时应混合不可预测因子,例如:$state = base64_encode(random_bytes(16)) . '_' . time();
- 回调中先验证
$_GET['state']长度和格式,再查缓存匹配,匹配后立即删除该state记录 - 不要把敏感信息(如用户 ID)明文塞进
state,它会暴露在浏览器地址栏和 referer 日志中 - 如果用 ThinkPHP/Laravel 等框架,注意其中间件可能重写
$_GET,优先用框架提供的 request 对象:request()->get('state')
拿到 code 后怎么换 access_token 和用户信息
调用微信接口 https://api.weixin.qq.com/sns/oauth2/access_token 是标准 HTTP GET 请求,必须带上 appid、secret、code 和 grant_type=authorization_code 四个参数。返回 JSON 中的 openid 是后续识别用户的唯一依据,access_token 仅用于拉取用户信息,有效期 2 小时,不可长期存储。
立即学习“PHP免费学习笔记(深入)”;
- 推荐用
cURL发起请求,禁用 SSL 验证(CURLOPT_SSL_VERIFYPEER => false)仅限开发环境,生产必须开启 - 若返回
{"errcode":40163,"errmsg":"code been used"},说明该code已被使用过一次(微信强制一次性),需前端重新触发授权流程 - 获取用户信息需额外调用
https://api.weixin.qq.com/sns/userinfo,注意此接口返回的nickname是 UTF-8 编码,PHP 输出前需确保页面字符集为 UTF-8 - 不要用
file_get_contents()直接请求微信接口,它默认无超时、无错误处理,容易卡死
code 丢失、state 校验绕过、redirect_uri 域名不匹配这三类问题占实际排障的 80% 以上,动手前先盯住这三个点。 
