微信扫码登录回调中需用$_GET[‘code’]获取code参数,因微信通过GET方式重定向并附带code;务必先isset检查,再配合state校验防csrf,随后用curl请求access_Token接口,切勿用file_get_contents拼接URL。
微信扫码登录回调里怎么拿到 code 参数
微信扫码登录成功后,会重定向到你配置的 redirect_uri,并附带一个临时授权码 code。这个 code 只能用一次,5分钟内有效,php 后端必须在回调 URL 的入口脚本里立刻获取它。
常见错误是:用 $_POST 去取 —— 实际上微信是通过 GET 方式跳转的,code 在 URL 查询参数里。
-
$_GET['code']是唯一可靠方式,直接读取 - 务必先检查
isset($_GET['code']),避免未扫码直接访问回调地址导致空值报错 - 如果 URL 中还带了
state(推荐启用),也要一并校验,防止 CSRF
用 code 换取 access_token 和用户信息的 PHP 请求写法
拿到 code 后,要调用微信 OAuth2 接口:https://api.weixin.qq.com/sns/oauth2/access_token,用 GET 请求带上 4 个必要参数:你的 appid、secret、code 和固定值 grant_type=authorization_code。
注意点:
立即学习“PHP免费学习笔记(深入)”;
- 不能用
file_get_contents()直接拼 URL——URL 长度超限或含特殊字符会失败,必须用cURL - 响应是 jsON,需用
json_decode($res, true)解析,检查是否含errcode字段(有则说明出错) - 如果返回
"errcode":40029,基本是code已被使用或过期,别重试,引导用户重新扫码
$url = 'https://api.weixin.qq.com/sns/oauth2/access_token?' . http_build_query([ 'appid' => 'your_appid', 'secret' => 'your_appsecret', 'code' => $_GET['code'], 'grant_type' => 'authorization_code' ]); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); $res = curl_exec($ch); curl_close($ch); $data = json_decode($res, true); if (isset($data['errcode'])) { // 处理错误,比如记录日志、跳转错误页 die('微信接口错误:' . $data['errmsg']); }拿到 openid 后要不要再调用 sns/userinfo
取决于你要不要用户的昵称、头像等敏感信息。微信对 sns/userinfo 接口做了限制:
- 仅当用户在公众号/小程序中关注了你,或授权时选择了「记住我的选择」,才能成功返回用户信息
- 若只用
openid做登录态绑定(比如关联数据库里的用户 ID),完全不需要这一步 - 调用
sns/userinfo必须传access_token+openid+lang=zh_CN,且access_token有效期只有 2 小时 - 该接口返回的
unionid仅在用户关注了公众号或绑定了开放平台账号时才有,别默认依赖它做唯一标识
PHP 回调逻辑里最容易漏掉的三件事
很多线上问题不是代码写错,而是关键环节没兜住:
- 没验证
state参数:扫码前应生成随机字符串存入 session,并在回调时比对,否则攻击者可伪造code - 没做幂等处理:用户手快连点扫码,可能收到多个相同
code,但微信允许重复使用一次(极短窗口),建议用 redis 记录已处理过的codehash 值,5 分钟过期 - 没设置合适的 session 生命周期:如果用
$_SESSION存用户登录态,确保session_start()在最开头,且 session 存储路径可写、不被其他项目干扰
真正麻烦的从来不是“怎么拿到 code”,而是“怎么安全地用完它还不留后患”。尤其是 code 一次性、access_token 短时效、openid 不跨应用通用这几个特性,容易让人下意识当成普通 token 来用。