不是必须,但完全可行。微信小程序本身不绑定语言,只要你的 PHP 服务能提供符合规范的 HTTPS 接口、正确处理签名与加密、按时返回 JSON 就行。PHP 的优势在于部署简单、生态成熟(比如 php-curl、openssl 扩展默认可用),适合中小项目快速上线。
code2Session)小程序调用 wx.login() 获取临时 code,后端用它向微信接口换 openid 和 session_key。关键点不是“怎么发请求”,而是“怎么防伪造”:
AppSecret 暴露在前端或小程序代码里session_key 是敏感凭据,别存数据库明文,更别返回给前端;只用它解密手机号等敏感数据token(比如 JWT)要绑定 openid + 时间戳 + 随机 salt,避免被复用示例核心逻辑(使用 file_get_contents 或 curl 均可):
$url = 'https://api.weixin.qq.com/sns/jscode2session?' . http_build_query([
'appid' => 'your_appid',
'secret' => 'your_appsecret',
'js_code' => $_POST['code'],
'grant_type' => 'authorization_code'
]);
$result = json_decode(file_get_contents($url), true);
if (isset($result['openid']) && isset($result['session_key'])) {
// 生成你自己的登录态 token,不要直接返回 session_key
}
小程序调用 getPhoneNumber 后,前端传给你 encryptedData、iv 和 code。解密必须用上一步拿到的 session_key,且必须校验 encryptedData 的 pkcs#7 填充和 AES-128-CBC 模式:
立即学习“PHP免费学习笔记(深入)”;
openssl 扩展(php -m | grep openssl)session_key 是 32 字节 base64 解码后的二进制,不是字符串;iv 同理watermark.appid 是否匹配你自己的 AppID,否则可能是被篡改的数据简写解密片段(注意错误处理):
$sessionKey = base64_decode($sessionKeyBase64);
$iv = base64_decode($ivBase64);
$data = base64_decode($encryptedData);
$decrypted = openssl_decrypt($data, 'AES-128-CBC', $sessionKey, OPENSSL_ZERO_PADDING, $iv);
if ($decrypted === false) {
throw new Exception('Decrypt failed: ' . openssl_error_string());
}
$payload = json_decode($decrypted, true);
if (empty($payload['watermark']['appid']) || $payload['watermark']['appid'] !== 'your_appid') {
throw new Exception('Invalid watermark');
}
微信强制要求所有接口走 HTTPS,且域名必须在小程序后台「开发管理 → 服务器域名」中白名单备案。PHP 本身不关心 HTTPS,但这些细节常导致“本地能跑,上线 404 或 net::ERR_CONNECTION_REFUSED”:
curl -I https://yourdomain.com 检查是否返回 200
allow_url_fopen 若关闭,file_get_contents 调用微信接口会失败,此时必须用 curl
header('Content-Type: application/json; charset=utf-8');,否则中文可能乱码,微信也可能拒绝解析Content-Type 是 text/xml,不能当成普通 JSON 处理;要用 file_get_contents('php://input') 读原始体真正卡住人的,往往不是算法,而是证书过期、域名没备案、或 header 少写一个 charset。先让 https://yourdomain.com/api/test.php 返回 {"ok":1},再动业务逻辑。
