php项目调用不到同盾固法模型评分结果,因其仅支持SDK(java/python)或http接口(需白名单+签名认证),且必须通过独立域名/api.fawu.tongdun.cn/v1/transaction/evaluate路径,严格匹配字段、签名与授权配置。
同盾 AI 风控的 固法 模型不支持 PHP 直接调用评分接口——它只对签约客户开放 SDK(Java/Python)或 HTTP 接口(需白名单 + 签名认证),且交易数据必须通过同盾指定的 transaction 类型事件上报,不能混用通用风控接口。
为什么 PHP 项目调不到固法模型的评分结果
同盾「固法」是面向金融场景的定制化模型,其调用链路与标准 API 不同:
-
固法不走/v4/risk/decision这类通用决策接口,而是走独立域名(如https://api.fawu.tongdun.cn)下的/v1/transaction/evaluate路径 - 必须提前在同盾控制台完成「固法模型授权」+「IP 白名单配置」+「AK/SK 申请」,缺一不可
- 请求头必须带
X-td-date、X-TD-Nonce、X-TD-Signature三签名字段,PHP 若未按同盾文档实现 Hmac-SHA256 签名逻辑,会返回401 Unauthorized或403 SignatureInvalid - 交易数据字段命名严格匹配固法 schema,例如
orderAmount不能写成amount,payChannel必须是枚举值(wechat_pay/alipay/bank_card)
PHP 中能走通的最小可行调用结构
以下代码仅适用于已获授权、已配白名单、已拿到 accessKey 和 secretKey 的情况。注意:签名生成逻辑必须与同盾 Java SDK 的 SignUtils.sign() 行为完全一致。
function buildTdSignature($method, $uri, $params, $accessKey, $secretKey) { $sorted = []; foreach ($params as $k => $v) { $sorted[] = rawurlencode($k) . '=' . rawurlencode($v); } sort($sorted); $canonicalString = strtoupper($method) . "n" . $uri . "n" . implode('&', $sorted); return base64_encode(hash_hmac('sha256', $canonicalString, $secretKey, true)); } $timestamp = date('Y-m-dTH:i:sZ'); $nonce = uniqid('', true);
$data = [ 'accessKey' => 'your_accesskey', 'timestamp' => $timestamp, 'nonce' => $nonce, 'transactionId' => 'TXN' . time() . '_' . rand(1000, 9999), 'orderAmount' => 299.00, 'payChannel' => 'wechat_pay', 'userId' => 'U123456789', 'ip' => $_SERVER['REMOTE_ADDR'] ?? '127.0.0.1', 'deviceFingerprint' => $_cookie['td_fp'] ?? 'fallback_fp' ];
$signature = buildTdSignature('POST', '/v1/transaction/evaluate', $data, $data['accessKey'], 'your_secret_key');
立即学习“PHP免费学习笔记(深入)”;
$ch = curl_init(); curl_setopt_array($ch, [ CURLOPT_URL => 'https://www.php.cn/link/2e2cd7615273534f691620f7033d6b76', CURLOPT_POST => true, CURLOPT_POSTFIELDS => json_encode($data), CURLOPT_HTTPHEADER => [ 'Content-Type: application/json; charset=utf-8', 'X-TD-Date: ' . $timestamp, 'X-TD-Nonce: ' . $nonce, 'X-TD-Signature: ' . $signature, 'X-TD-Access-Key: ' . $data['accessKey'] ], CURLOPT_RETURNTRANSFER => true, CURLOPT_TIMEOUT => 10 ]);
$response = curl_exec($ch); $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); curl_close($ch);
if ($httpCode === 200) { $result = json_decode($response, true); echo $result['riskScore'] ?? 'no riskScore'; } else { error_log("Tongdun固法调用失败: {$httpCode} - {$response}"); }
常见报错及对应检查点
遇到错误时,优先确认以下几项:
-
400 Bad Request→ 检查transactionId是否重复、orderAmount是否为数字类型(不是字符串)、payChannel是否在固法支持列表内 -
401 Unauthorized→accessKey未激活,或控制台未开启「固法服务权限」 -
403 SignatureInvalid→ PHP 签名中$canonicalString拼接顺序/编码方式与同盾要求不一致(特别注意空格、换行、rawurlencode处理) - 返回
{"code":20001,"msg":"model not found"}→ 固法模型未部署到该环境(测试环境和生产环境模型 ID 不同,需单独申请)
固法模型对交易字段完整性要求极高,少传一个 deviceFingerprint 或传错 userId 类型(比如用了手机号当 userId 但合同约定用加密 UID),都会导致评分降级或直接拒分。上线前务必用同盾提供的「沙箱校验工具」跑一遍全字段。