微信扫码登录回调PHP怎么接收_处理扫码登录code参数方法【教程】

微信扫码登录回调中需用$_GET['code']获取code参数，因微信通过GET方式重定向并附带code；务必先isset检查，再配合state校验防CSRF，随后用cURL请求access_token接口，切勿用file_get_contents拼接URL。

微信扫码登录回调里怎么拿到 code 参数

微信扫码登录成功后，会重定向到你配置的 redirect_uri，并附带一个临时授权码 code。这个 code 只能用一次，5分钟内有效，PHP 后端必须在回调 URL 的入口脚本里立刻获取它。

常见错误是：用 $_POST 去取 —— 实际上微信是通过 GET 方式跳转的，code 在 URL 查询参数里。

• $_GET['code'] 是唯一可靠方式，直接读取
• 务必先检查 isset($_GET['code'])，避免未扫码直接访问回调地址导致空值报错
• 如果 URL 中还带了 state（推荐启用），也要一并校验，防止 CSRF

用 code 换取 access_token 和用户信息的 PHP 请求写法

拿到 code 后，要调用微信 OAuth2 接口：https://api.weixin.qq.com/sns/oauth2/access_token，用 GET 请求带上 4 个必要参数：你的 appid、secret、code 和固定值 grant_type=authorization_code。

注意点：

• 不能用 file_get_contents() 直接拼 URL——URL 长度超限或含特殊字符会失败，必须用 cURL
• 响应是 JSON，需用 json_decode($res, true) 解析，检查是否含 errcode 字段（有则说明出错）
• 如果返回 "errcode":40029，基本是 code 已被使用或过期，别重试，引导用户重新扫码

$url = 'https://api.weixin.qq.com/sns/oauth2/access_token?' . http_build_query([
    'appid' => 'your_appid',
    'secret' => 'your_appsecret',
    'code' => $_GET['code'],
    'grant_type' => 'authorization_code'
]);

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$res = curl_exec($ch);
curl_close($ch);

$data = json_decode($res, true);
if (isset($data['errcode'])) {
    // 处理错误，比如记录日志、跳转错误页
    die('微信接口错误：' . $data['errmsg']);
}

拿到 openid 后要不要再调用 sns/userinfo

取决于你要不要用户的昵称、头像等敏感信息。微信对 sns/userinfo 接口做了限制：

• 仅当用户在公众号/小程序中关注了你，或授权时选择了「记住我的选择」，才能成功返回用户信息
• 若只用 openid 做登录态绑定（比如关联数据库里的用户 ID），完全不需要这一步
• 调用 sns/userinfo 必须传 access_token + openid + lang=zh_CN，且 access_token 有效期只有 2 小时
• 该接口返回的 unionid 仅在用户关注了公众号或绑定了开放平台账号时才有，别默认依赖它做唯一标识

PHP 回调逻辑里最容易漏掉的三件事

很多线上问题不是代码写错，而是关键环节没兜住：

• 没验证 state 参数：扫码前应生成随机字符串存入 session，并在回调时比对，否则攻击者可伪造 code
• 没做幂等处理：用户手快连点扫码，可能收到多个相同 code，但微信允许重复使用一次（极短窗口），建议用 Redis 记录已处理过的 code hash 值，5 分钟过期
• 没设置合适的 session 生命周期：如果用 $_SESSION 存用户登录态，确保 session_start() 在最开头，且 session 存储路径可写、不被其他项目干扰

真正麻烦的从来不是“怎么拿到 code”，而是“怎么安全地用完它还不留后患”。尤其是 code 一次性、access_token 短时效、openid 不跨应用通用这几个特性，容易让人下意识当成普通 token 来用。