Laravel怎么集成阿里大于短信验证码_Laravel发送手机验证码与Session存根【实战】

17次阅读

应使用阿里云新版OpenAPI SDK:composer require alibabacloud/pop-core alibabacloud/credentials,配合Credential管理密钥;短信需绑定已审核签名与模板,变量名严格匹配如${code};session存验证码须手机号+时效强绑定,key为sms_verify_13800138000。

Laravel怎么集成阿里大于短信验证码_Laravel发送手机验证码与Session存根【实战】

阿里大于(云通信)SDK 在 laravel 8+ 中怎么装不报错

阿里大于官方 SDK 已停止维护,当前必须用阿里云官方推荐的 alibabacloud/pop-corealibabacloud/tea-openapi 替代。直接 composer require alibabacloud/dysmsapi 会因 php 版本、Guzzle 兼容性或签名算法过时而失败。

正确做法是:

  • 用阿里云新版 OpenAPI SDK:composer require alibabacloud/pop-core
  • 配合 alibabacloud/credentials 管理 accessKey(比硬编码安全)
  • 注意:Laravel 9+ 默认使用 PHP 8.0+,要避免安装含 guzzlehttp/guzzle: ~6.0 的旧包,否则和 Laravel 的 http 辅助函数冲突

Laravel 发送短信验证码的最小可行代码(带签名与模板校验)

阿里云要求每个短信必须绑定已审核通过的签名(SignName)和模板(TemplateCode),且模板中变量名必须严格匹配(如 ${code}),不能写成 {code}%s

以下是在控制器中调用的精简示例(无需封装 Service 类也能跑通):

use AlibabaCloudPopCoreCoreRpcAcsRequest; use AlibabaCloudCredentialsCredential;  $credential = new Credential('your-access-key-id', 'your-access-key-secret'); $client = new AlibabaCloudPopCoreCoreDefaultAcsClient($credential);  $request = new RpcAcsRequest(); $request->setProtocol('https'); $request->setMethod('POST'); $request->setVersion('2017-05-25'); $request->setAction('SendSms'); $request->setRegionId('cn-hangzhou');  $request->putQueryParameter('PhoneNumbers', '13800138000'); $request->putQueryParameter('SignName', '你的已备案签名'); $request->putQueryParameter('TemplateCode', 'SMS_123456789'); $request->putQueryParameter('TemplateParam', json_encode(['code' => '123456'], JSON_UNESCAPED_UNICODE));  try {     $response = $client->doRequest($request);     $result = json_decode($response->getBody()->getContents(), true);     if ($result['Code'] === 'OK') {         // 成功,可存入 session         session(['sms_verify_' . '13800138000' => ['code' => '123456', 'expires_at' => now()->addMinutes(10)]]);     } } catch (Exception $e) {     Log::error('Aliyun SMS send failed: ' . $e->getMessage()); }

Session 存验证码为什么不能只存 code?

只存 session(['code' => '123456']) 是危险的:攻击者可复用任意手机号的上一次验证码。必须将手机号与验证码强绑定,并设有效期。

推荐结构:

  • key 用前缀 + 手机号,如 sms_verify_13800138000,避免不同用户互相覆盖
  • value 存数组:['code' => '123456', 'expires_at' => '2024-05-20 15:30:00'],不用 Laravel 的 put() + expire() 组合——因为 Session 不支持按 key 精确过期
  • 验证时先检查 now() ,再比对 $data['code']

别依赖 session()->forget() 清理,它不保证原子性;超时检查必须每次验证都做。

本地开发调试收不到短信?先查这三处

阿里云控制台配置没问题,但本地发不出,大概率卡在这几个地方:

  • 没开「国内消息」权限:在 云通信控制台 → 短信服务 → 国内消息 确认已开通并完成企业实名认证
  • 测试手机号没加到「短信测试管理」白名单(开发环境必须加,否则返回 isv.BLOCKED_MOBILE_NUMBER
  • 请求中的 RegionId 写成了 ap-southeast-1 或留空——国内短信固定用 cn-hangzhou

错误响应里如果出现 isv.INVALID_PARAMETERS,八成是 TemplateParamjsON 格式不对(缺引号、用了单引号、键名和模板不一致)。

发表于:后端开发
2026-01-05
# access# ai# composer# http# js# json# laravel# php# require# session# 封装# 开发环境# 算法# 编码# 阿里云
复制链接
Go如何让错误信息更易读_Go Error可读性优化技巧
Python 如何给 typing.Literal 添加运行时校验(不依赖 pydantic)
role=”alert” 和 aria-live=”assertive” 的区别与实际使用
php中$this和::能混用吗_对象与静态作用域冲突解决【方法】
text=ZqhQzanResources