应使用阿里云新版OpenAPI SDK:composer require alibabacloud/pop-core alibabacloud/credentials,配合Credential管理密钥;短信需绑定已审核签名与模板,变量名严格匹配如${code};Session存验证码须手机号+时效强绑定,key为sms_verify_13800138000。
阿里大于(云通信)SDK 在 Laravel 8+ 中怎么装不报错
阿里大于官方 SDK 已停止维护,当前必须用阿里云官方推荐的 alibabacloud/pop-core 和 alibabacloud/tea-openapi 替代。直接 composer require alibabacloud/dysmsapi 会因 PHP 版本、Guzzle 兼容性或签名算法过时而失败。
正确做法是:
- 用阿里云新版 OpenAPI SDK:
composer require alibabacloud/pop-core - 配合
alibabacloud/credentials管理 AccessKey(比硬编码安全) - 注意:Laravel 9+ 默认使用 PHP 8.0+,要避免安装含
guzzlehttp/guzzle: ~6.0的旧包,否则和 Laravel 的http辅助函数冲突
Laravel 发送短信验证码的最小可行代码(带签名与模板校验)
阿里云要求每个短信必须绑定已审核通过的签名(SignName)和模板(TemplateCode),且模板中变量名必须严格匹配(如 ${code}),不能写成 {code} 或 %s。
以下是在控制器中调用的精简示例(无需封装 Service 类也能跑通):
use AlibabaCloud\PopCore\Core\RpcAcsRequest;
use AlibabaCloud\Credentials\Credential;
$credential = new Credential('your-access-key-id', 'your-access-key-secret');
$client = new \AlibabaCloud\PopCore\Core\DefaultAcsClient($credential);
$request = new RpcAcsRequest();
$request->setProtocol('https');
$request->setMethod('POST');
$request->setVersion('2017-05-25');
$request->setAction('SendSms');
$request->setRegionId('cn-hangzhou');
$request->putQueryParameter('PhoneNumbers', '13800138000');
$request->putQueryParameter('SignName', '你的已备案签名');
$request->putQueryParameter('TemplateCode', 'SMS_123456789');
$request->putQueryParameter('TemplateParam', json_encode(['code' => '123456'], JSON_UNESCAPED_UNICODE));
try {
$response = $client->doRequest($request);
$result = json_decode($response->getBody()->getContents(), true);
if ($result['Code'] === 'OK') {
// 成功,可存入 session
session(['sms_verify_' . '13800138000' => ['code' => '123456', 'expires_at' => now()->addMinutes(10)]]);
}
} catch (\Exception $e) {
\Log::error('Aliyun SMS send failed: ' . $e->getMessage());
}
Session 存验证码为什么不能只存 code?
只存 session(['code' => '123456']) 是危险的:攻击者可复用任意手机号的上一次验证码。必须将手机号与验证码强绑定,并设有效期。
推荐结构:
- key 用前缀 + 手机号,如
sms_verify_13800138000,避免不同用户互相覆盖 - value 存数组:
['code' => '123456', 'expires_at' => '2024-05-20 15:30:00'],不用 Laravel 的put()+expire()组合——因为 Session 不支持按 key 精确过期 - 验证时先检查
now() ,再比对$data['code']
别依赖 session()->forget() 清理,它不保证原子性;超时检查必须每次验证都做。
本地开发调试收不到短信?先查这三处
阿里云控制台配置没问题,但本地发不出,大概率卡在这几个地方:
- 没开「国内消息」权限:在 云通信控制台 → 短信服务 → 国内消息 确认已开通并完成企业实名认证
- 测试手机号没加到「短信测试管理」白名单(开发环境必须加,否则返回
isv.BLOCKED_MOBILE_NUMBER) - 请求中的
RegionId写成了ap-southeast-1或留空——国内短信固定用cn-hangzhou
错误响应里如果出现 isv.INVALID_PARAMETERS,八成是 TemplateParam 的 JSON 格式不对(缺引号、用了单引号、键名和模板不一致)。
