微信扫码登录回调中需用$_GET['code']获取code参数，因微信通过GET方式重定向并附带code；务必先isset检查，再配合state校验防CSRF，随后用cURL请求access_token接口，切勿用file_get_contents拼接URL。

微信扫码登录回调里怎么拿到 code 参数

微信扫码登录成功后，会重定向到你配置的 redirect_uri，并附带一个临时授权码 code。这个 code 只能用一次，5分钟内有效，PHP 后端必须在回调 URL 的入口脚本里立刻获取它。

常见错误是：用 $_POST 去取 —— 实际上微信是通过 GET 方式跳转的，code 在 URL 查询参数里。

• $_GET['code'] 是唯一可靠方式，直接读取
• 务必先检查 isset($_GET['code'])，避免未扫码直接访问回调地址导致空值报错
• 如果 URL 中还带了 state（推荐启用），也要一并校验，防止 CSRF

用 code 换取 access_token 和用户信息的 PHP 请求写法

拿到 code 后，要调用微信 OAuth2 接口：https://api.weixin.qq.com/sns/oauth2/access_token，用 GET 请求带上 4 个必要参数：你的 appid、secret、code 和固定值 grant_type=authorization_code。

注意点：

• 不能用 file_get_contents() 直接拼 URL——URL 长度超限或含特殊字符会失败，必须用 cURL
• 响应是 JSON，需用 json_decode($res, true) 解析，检查是否含 errcode 字段（有则说明出错）
• 如果返回 "errcode":40029，基本是 code 已被使用或过期，别重试，引导用户重新扫码

$url = 'https://api.weixin.qq.com/sns/oauth2/access_token?' . http_build_query([
    'appid' => 'your_appid',
    'secret' => 'your_appsecret',
    'code' => $_GET['code'],
    'grant_type' => 'authorization_code'
]);

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$res = curl_exec($ch);
curl_close($ch);

$data = json_decode($res, true);
if (isset($data['errcode'])) {
    // 处理错误，比如记录日志、跳转错误页
    die('微信接口错误：' . $data['errmsg']);
}

拿到 openid 后要不要再调用 sns/userinfo

取决于你要不要用户的昵称、头像等敏感信息。微信对 sns/userinfo 接口做了限制：

• 仅当用户在公众号/小程序中关注了你，或授权时选择了「记住我的选择」，才能成功返回用户信息
• 若只用 openid 做登录态绑定（比如关联数据库里的用户 ID），完全不需要这一步
• 调用 sns/userinfo 必须传 access_token + openid + lang=zh_CN，且 access_token 有效期只有 2 小时
• 该接口返回的 unionid 仅在用户关注了公众号或绑定了开放平台账号时才有，别默认依赖它做唯一标识

PHP 回调逻辑里最容易漏掉的三件事

很多线上问题不是代码写错，而是关键环节没兜住：

• 没验证 state 参数：扫码前应生成随机字符串存入 session，并在回调时比对，否则攻击者可伪造 code
• 没做幂等处理：用户手快连点扫码，可能收到多个相同 code，但微信允许重复使用一次（极短窗口），建议用 Redis 记录已处理过的 code hash 值，5 分钟过期
• 没设置合适的 session 生命周期：如果用 $_SESSION 存用户登录态，确保 session_start() 在最开头，且 session 存储路径可写、不被其他项目干扰

真正麻烦的从来不是“怎么拿到 code”，而是“怎么安全地用完它还不留后患”。尤其是 code 一次性、access_token 短时效、openid 不跨应用通用这几个特性，容易让人下意识当成普通 token 来用。

# php  # redis  # js  # json  # 微信  # app  # access  # qq  # 小程序  # session  # 后端  # curl  # red  # csrf 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何快速搭建虚拟主机网站？新手必看指南  如何快速生成凡客建站的专业级图册？  Laravel怎么实现观察者模式Observer_Laravel模型事件监听与解耦开发【指南】  如何用狗爹虚拟主机快速搭建网站？  Laravel如何使用Vite进行前端资源打包？（配置示例）  详解Nginx + Tomcat 反向代理 负载均衡 集群 部署指南  如何用搬瓦工VPS快速搭建个人网站？  laravel怎么为应用开启和关闭维护模式_laravel应用维护模式开启与关闭方法  详解Nginx + Tomcat 反向代理 如何在高效的在一台服务器部署多个站点  湖南网站制作公司,湖南上善若水科技有限公司做什么的？  桂林网站制作公司有哪些,桂林马拉松怎么报名？  Laravel怎么使用Blade模板引擎_Laravel模板继承与Component组件复用【手册】  C++用Dijkstra(迪杰斯特拉)算法求最短路径  Laravel怎么实现模型属性转换Casting_Laravel自动将JSON字段转为数组【技巧】  HTML5空格在Angular项目里怎么处理_Angular中空格的渲染问题【详解】  Laravel如何使用Eloquent ORM进行数据库操作？（CRUD示例）  网站页面设计需要考虑到这些问题  Android自定义控件实现温度旋转按钮效果  香港服务器选型指南：免备案配置与高效建站方案解析  制作ppt免费网站有哪些,有哪些比较好的ppt模板下载网站？  Laravel如何集成Inertia.js与Vue/React？（安装配置）  详解Huffman编码算法之Java实现  Android实现代码画虚线边框背景效果  JavaScript中的标签模板是什么_它如何扩展字符串功能  Laravel如何使用缓存系统提升性能_Laravel缓存驱动和应用优化方案  Laravel怎么使用Collection集合方法_Laravel数组操作高级函数pluck与map【手册】  Laravel怎么定时执行任务_Laravel任务调度器Schedule配置与Cron设置【教程】  如何在IIS管理器中快速创建并配置网站？  中山网站推广排名,中山信息港登录入口？  香港服务器租用每月最低只需15元？  在线ppt制作网站有哪些软件,如何把网页的内容做成ppt？  黑客如何通过漏洞一步步攻陷网站服务器？  大连网站制作公司哪家好一点,大连买房网站哪个好？  香港代理服务器配置指南：高匿IP选择、跨境加速与SEO优化技巧  专业型网站制作公司有哪些,我设计专业的，谁给推荐几个设计师兼职类的网站？  免费制作统计图的网站有哪些,如何看待现如今年轻人买房难的情况？  Laravel如何使用Eloquent进行子查询  网站制作报价单模板图片,小松挖机官方网站报价？  Laravel怎么创建控制器Controller_Laravel路由绑定与控制器逻辑编写【指南】  如何快速搭建个人网站并优化SEO？  利用JavaScript实现拖拽改变元素大小  大学网站设计制作软件有哪些,如何将网站制作成自己app？  如何确认建站备案号应放置的具体位置？  Android中AutoCompleteTextView自动提示  Laravel如何处理CORS跨域问题_Laravel项目CORS配置与解决方案  Laravel Blade组件怎么用_Laravel可复用视图组件的创建与使用  Python文件异常处理策略_健壮性说明【指导】  哪家制作企业网站好,开办像阿里巴巴那样的网络公司和网站要怎么做？  Laravel如何实现数据导出到CSV文件_Laravel原生流式输出大数据量CSV【方案】  济南网站建设制作公司,室内设计网站一般都有哪些功能？