微信授权回调PHP怎么接收_code和state参数获取方法【指南】

PHP需用$_GET['code']和$_GET['state']接收微信OAuth2回调参数，因回调为标准GET请求；须确保授权域名配置正确、Web服务器透传查询参数、state服务端缓存校验且不暴露敏感信息。

PHP 如何在微信授权回调中正确接收 _code 和 state

微信 OAuth2 授权回调 URL 会以 GET 参数形式携带 code 和 state（注意：参数名是 code，不是 _code；带下划线的写法是常见误解或框架自动重命名导致的）。PHP 必须用 $_GET['code'] 和 $_GET['state'] 直接读取，不能依赖 $_REQUEST 或 POST 解析方式。

• 微信回调请求是标准 GET，例如：https://your.domain.com/callback.php?code=081U...&state=abc123
• $_GET 是唯一可靠来源；$_POST 和 file_get_contents('php://input') 都为空
• 若收不到 code，先检查微信公众号后台「授权回调域名」是否配置正确（仅支持一级域名，不带 http:// 或路径）
• 某些 Nginx/Apache 配置会过滤含 code 的参数（尤其旧版安全模块），可临时加日志验证：

  error_log(print_r($_GET, true), 3, '/tmp/wechat-callback.log');

为什么 $_GET['code'] 有时为 null 或空字符串

最常见原因是服务器启用了 URL 重写但未透传原始查询参数，或 PHP 被配置为禁用 $_GET（极罕见）。另一个高频场景是前端跳转时手动拼接 URL 却漏了 code —— 实际上该参数由微信服务器自动追加，你只需确保跳转链接是微信生成的完整授权 URL。

• 检查跳转前的 URL 是否包含 redirect_uri 且已 urlencode，例如：https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx...&redirect_uri=https%3A%2F%2Fyour.domain.com%2Fcallback.php&response_type=code&scope=snsapi_base&state=abc123#wechat_redirect
• redirect_uri 必须和公众号后台配置的**完全一致**（协议、域名、端口、路径），否则微信不返回 code
• Apache 的 mod_rewrite 若使用 RewriteRule 未加 [QSA] 标志，会导致原始 query string 丢失
• Nginx 中需确认 try_files 或 fastcgi_param 包含 $query_string，例如：fastcgi_param QUERY_STRING $query_string;

state 参数必须校验，且不能只存 session

state 是防止 CSRF 的关键，但仅靠 $_SESSION['state'] 匹配不够健壮——用户可能多标签打开授权页，或 session 在并发请求中被覆盖。建议用服务端短期缓存（如 Redis）存储 state + 用户标识（如 IP 或随机 token），并设置 5 分钟过期。

• 生成 state 时应混合不可预测因子，例如：

  $state = base64_encode(random_bytes(16)) . '_' . time();

• 回调中先验证 $_GET['state'] 长度和格式，再查缓存匹配，匹配后立即删除该 state 记录
• 不要把敏感信息（如用户 ID）明文塞进 state，它会暴露在浏览器地址栏和 referer 日志中
• 如果用 ThinkPHP/Laravel 等框架，注意其中间件可能重写 $_GET，优先用框架提供的 request 对象：request()->get('state')

拿到 code 后怎么换 access_token 和用户信息

调用微信接口 https://api.weixin.qq.com/sns/oauth2/access_token 是标准 HTTP GET 请求，必须带上 appid、secret、code 和 grant_type=authorization_code 四个参数。返回 JSON 中的 openid 是后续识别用户的唯一依据，access_token 仅用于拉取用户信息，有效期 2 小时，不可长期存储。

立即学习“PHP免费学习笔记（深入）”；

• 推荐用 cURL 发起请求，禁用 SSL 验证（CURLOPT_SSL_VERIFYPEER => false）仅限开发环境，生产必须开启
• 若返回 {"errcode":40163,"errmsg":"code been used"}，说明该 code 已被使用过一次（微信强制一次性），需前端重新触发授权流程
• 获取用户信息需额外调用 https://api.weixin.qq.com/sns/userinfo，注意此接口返回的 nickname 是 UTF-8 编码，PHP 输出前需确保页面字符集为 UTF-8
• 不要用 file_get_contents() 直接请求微信接口，它默认无超时、无错误处理，容易卡死

微信回调看似简单，但 code 丢失、state 校验绕过、redirect_uri 域名不匹配这三类问题占实际排障的 80% 以上，动手前先盯住这三个点。