第三方短信接口密钥严禁硬编码,应通过环境变量或独立不可访问配置文件加载;调用sdk时作为构造参数传入,避免裸传;需排查密钥加载、签名算法、时区同步及环境隔离问题。
第三方短信接口密钥通常不写在 php 代码里
直接把密钥硬编码进 index.php 或配置文件(如 config.php)是高危操作,一旦代码泄露或被 git 提交,密钥就彻底暴露。主流做法是通过环境变量或独立配置文件(且该文件不在 Web 可访问路径下)加载密钥。
- 推荐用
.env文件配合vlucas/phpdotenv加载:密钥存于项目根目录的.env(不提交到 Git),PHP 中用$_ENV['SMS_API_KEY']读取 - 若用 nginx/apache,也可在 Web 服务器配置中设置环境变量,再通过
getenv('SMS_API_KEY')获取 - 绝对避免:在
public/或www/目录下放含密钥的 PHP 文件,浏览器能直接请求到就等于公开密钥
调用短信 SDK 时怎么传密钥参数
不同厂商 SDK 写法略有差异,但密钥基本作为构造函数参数或初始化配置项传入,不是拼在 URL 或 POST body 里裸传。
- 阿里云(
alibabacloud/sdk):new Client(['accessKeyId' => $_ENV['ALIYUN_ACCESS_KEY_ID'], 'accessKeySecret' => $_ENV['ALIYUN_ACCESS_KEY_SECRET']]) - 腾讯云(
tencentcloud-sdk-php):new Credential($_ENV['TENCENT_SECRET_ID'], $_ENV['TENCENT_SECRET_KEY']) - 云片(
yunpian/sdk):Client::getInstance($_ENV['YUNPIAN_APIKEY']) - 注意:有些 SDK 要求密钥是 Base64 编码后传入,务必查清文档——比如某些老版接口要求
base64_encode($key . ':' . $secret)
常见报错 InvalidSignature 或 Unauthorized 怎么排查
这类错误大概率不是密钥写法问题,而是签名生成逻辑或时间戳/nonce 校验失败,但根源常和密钥加载方式有关。
- 先确认密钥是否真被读到了:
var_dump($_ENV['SMS_API_KEY']);或error_log('key len: ' . strlen($_ENV['SMS_API_KEY'])); - 检查密钥是否含不可见字符(比如 windows 换行符、全角空格),建议用
trim()和str_replace(["r", "n", "t"], '', $key)清理 - 对比 API 文档要求的签名算法(HMAC-SHA256?MD5?是否要对参数排序?是否要 URL 编码后再签名?),密钥参与计算前是否需做额外处理
- 时区和系统时间偏差超过 5 分钟也会导致签名失效,别忽略
date_default_timezone_set('Asia/Shanghai');和服务器 NTP 同步
测试环境和生产环境密钥必须隔离
很多团队用同一套代码部署测试和线上,结果测试环境密钥被误刷进生产账单,或生产密钥流到测试机上被人反编译出来。
立即学习“PHP免费学习笔记(深入)”;
- 用不同环境变量名区分:
SMS_API_KEY_DEVvsSMS_API_KEY_PROD,通过APP_ENV=production动态切换 - 短信服务商后台一般支持为不同应用(AppID)分配独立密钥,测试应用和生产应用应完全隔离,不能共用一个密钥
- CI/CD 流水线中,生产环境密钥绝不能明文写在 YAML 里,要用平台提供的 secret 管理功能(如 github Actions Secrets、gitlab CI Variables)注入
密钥本身只是字符串,真正难的是让这个字符串在正确的时间、以正确的形式、只被正确的进程读到——任何环节松动,都可能让整条链路失效或暴露。