必须通过服务端发起http请求调用网易易盾文本检测API,使用POST提交jsON数据并携带Hmac-SHA1签名的X-YD-Signature请求头;签名需按POSTncontent-typentimestampnrequest-pathnbody-md5格式拼接后计算,timestamp为毫秒级且偏差≤5分钟,content-type须严格为application/json; charset=utf-8,body-md5为JSON字符串的MD5小写值。
怎么调用网易易盾文本检测 API 获取审核结果
网易易盾的文本风险检测不是纯客户端 SDK,必须通过服务端发起 HTTP 请求,使用 POST 提交 JSON 数据到指定接口,并携带有效签名。直接在前端用 JS 调用会暴露密钥,不可行。
关键步骤:获取 secretId 和 secretKey → 拼接待签名字符串 → 生成 HMAC-SHA1 签名 → 构造请求头 X-YD-Signature 和 X-YD-Timestamp → 发起请求。
- 接口地址通常是:
https://www.php.cn/link/1f58b5ce3e6444b0f94cdccab62090a2/v1/text/check(以控制台实际为准) - 必须使用
Content-Type: application/json; charset=utf-8 -
timestamp必须是毫秒级 unix 时间戳,且与服务器时间偏差不能超过 5 分钟,否则返回401 Unauthorized - 文本内容需放在
data字段中,且长度不能超过 10000 字符(超长需分段)
PHP 中怎么生成合法的 X-YD-Signature 签名
易盾要求签名基于 HMAC-SHA1,但和常见签名不同:它对「拼接后的原始字符串」做哈希,而非对 URL 编码后参数排序再拼。容易在这里出错。
原始签名串格式为:POSTn,其中 content-typentimestampnrequest-pathnbody-md5body-md5 是请求体(JSON 字符串)的 MD5 小写值。
立即学习“PHP免费学习笔记(深入)”;
-
content-type必须严格为application/json; charset=utf-8(注意空格和分号) -
request-path是接口路径,不含域名和查询参数,例如/v1/text/check - PHP 中用
hash_hmac('sha1', $signStr, $secretKey, true)得到二进制签名,再base64_encode()输出 - 别漏掉换行符
n—— 每一行末尾都要有,共 5 行,最后一行也有n
PHP 示例:提交文本并解析返回结果
以下是最简可用的同步检测代码,已避开常见空数组、编码、签名失败问题:
$timestamp = round(microtime(true) * 1000); $path = '/v1/text/check'; $body = json_encode([ 'secretId' => $secretId, 'data' => $text, 'dataType' => 1, // 1=文本 ], JSON_UNESCAPED_UNICODE);$bodyMd5 = md5($body); $contentType = 'application/json; charset=utf-8'; $signStr = "POSTn{$contentType}n{$timestamp}n{$path}n{$bodyMd5}n"; $signature = base64_encode(hash_hmac('sha1', $signStr, $secretKey, true));
$headers = [ 'Content-Type: ' . $contentType, 'X-YD-Signature: ' . $signature, 'X-YD-Timestamp: ' . $timestamp, 'X-YD-SecretId: ' . $secretId, ];
$ch = curl_init(); curl_setopt($ch, CURLOPT_URL, 'https://www.php.cn/link/1f58b5ce3e6444b0f94cdccab62090a2' . $path); curl_setopt($ch, CURLOPT_POST, true); curl_setopt($ch, CURLOPT_POSTFIELDS, $body); curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); // 生产环境应设为 true 并配置 CA
$response = curl_exec($ch); $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); curl_close($ch);
if ($httpCode === 200) { $result = json_decode($response, true); if (isset($result['code']) && $result['code'] === 200) { echo "审核通过:" . ($result['result']['pass'] ? '是' : '否') . "n"; echo "风险类型:" . implode(',', $result['result']['labels'] ?? []) . "n"; } else { echo "业务错误:" . ($result['msg'] ?? '未知错误') . "n"; } } else { echo "HTTP 错误:{$httpCode}n"; } ?>
返回结果里哪些字段真正有用
别只看 code === 200 就以为检测成功——那只是 API 调用没崩。真正要关注的是 result 下的结构:
-
result.pass:布尔值,true表示未命中任何风险策略(非 100% 安全,仅表示当前规则未触发) -
result.labels:数组,每个元素含label(风险大类,如100表涉政)、level(1=轻度,2=中度,3=严重) -
result.suggestion:建议操作,pass/review/reject,比pass字段更贴近人工审核逻辑 - 如果
result为空或缺失,大概率是文本过短、含非法字符、或被风控拦截(比如高频调用没加callback)
注意:易盾不保证实时返回全部 label,部分场景(如新词、上下文强依赖)可能返回 review 并附带空 labels,这时不能跳过人工复审。