![[db:标题]](/imgrand/Y2khWzvL.webp)
[db:标题]
- 内容介绍
- 文章标签
- 相关推荐
本文共计996个文字,预计阅读时间需要4分钟。
ThinkPHP+对接
使用ThinkPHP框架进行对接时,以下是一些基本步骤和注意事项:
配置应用与获取凭证
登录微博开放平台,进入「微连接 → 网站接入」创建应用。填写网站名称、域名、首页地址等信息后,系统会分配 App Key(即 client_id)和 App Secret(即 client_secret)。这两项必须严格保密,不能写死在前端或暴露在日志中。
关键一步是配置「授权回调页(redirect_uri)」:在后台填写的地址必须和 ThinkPHP 实际接收 code 的路由 URL 完全一致,包括协议(https)、端口(如有)、末尾斜杠、大小写。例如后台填了 https://example.com/weibo/callback,代码里就不能用 https://example.com/weibo/callback/ 或 http://...。
生成授权链接并重定向用户
在 ThinkPHP 控制器中,构造微博授权 URL。不建议手拼,推荐用 url() 助手函数动态生成回调地址,避免硬编码:
立即学习“PHP免费学习笔记(深入)”;
-
client_id填你申请到的 App Key -
response_type=code固定值,表示走授权码模式 -
redirect_uri必须和平台备案的一致,用url('weibo/callback', '', true)生成带域名的完整 URL -
scope按需申请权限,如all(基础信息)、statuses_to_me_read(@我的微博)、statuses_update(发微博)等;多个用英文逗号分隔 - 建议带上
state参数防 CSRF,存入 session 后比对
拼好后用 redirect($authUrl) 跳转,用户将在微博页面完成登录和授权。
后端换取 access_token 并验证
用户授权后,微博会重定向回你的 redirect_uri,附带 code 和原始 state。此时需在 ThinkPHP 的回调方法中做以下操作:
- 检查
$_GET['state']是否与 session 中保存的一致,不一致直接拒绝 - 用 Guzzle 发起 POST 请求到
https://api.weibo.com/oauth2/access_token - 请求体必须是
application/x-www-form-urlencoded格式,参数包括:client_id、client_secret、grant_type=authorization_code、redirect_uri(再次校验)、code - 禁止前端 JS 直接调用该接口,否则
client_secret会泄露 - 成功返回 JSON,含
access_token、expires_in、uid等字段;失败则根据 error 字段排查
拿到 access_token 后,可立即调用 https://api.weibo.com/2/account/get_uid.json?access_token=xxx 验证有效性,并提取微博用户唯一标识 uid。
发布微博内容与注意事项
要调用发微博接口(如 https://api.weibo.com/2/statuses/update.json),需确保授权时已申请 statuses_update 权限,且 access_token 有效。
- 请求方式为 POST,参数包括:
access_token、status(UTF-8 编码的文本,最长 140 字) - 若需上传图片,使用
https://api.weibo.com/2/statuses/upload.json,额外传pic文件字段 - 所有接口均强制 HTTPS,HTTP 请求会被拒绝
- 微博接口有调用频次限制,生产环境注意异常捕获与降级处理
- 不要把
access_token存进 Cookie 或前端 localStorage;建议服务端加密存数据库,关联用户 ID 与过期时间
整个流程不依赖 ThinkPHP 自带的 Auth 或 Session 做跨域认证,token 是微博颁发的、带签名的短期凭证,业务系统只负责合规使用。
本文共计996个文字,预计阅读时间需要4分钟。
ThinkPHP+对接
使用ThinkPHP框架进行对接时,以下是一些基本步骤和注意事项:
配置应用与获取凭证
登录微博开放平台,进入「微连接 → 网站接入」创建应用。填写网站名称、域名、首页地址等信息后,系统会分配 App Key(即 client_id)和 App Secret(即 client_secret)。这两项必须严格保密,不能写死在前端或暴露在日志中。
关键一步是配置「授权回调页(redirect_uri)」:在后台填写的地址必须和 ThinkPHP 实际接收 code 的路由 URL 完全一致,包括协议(https)、端口(如有)、末尾斜杠、大小写。例如后台填了 https://example.com/weibo/callback,代码里就不能用 https://example.com/weibo/callback/ 或 http://...。
生成授权链接并重定向用户
在 ThinkPHP 控制器中,构造微博授权 URL。不建议手拼,推荐用 url() 助手函数动态生成回调地址,避免硬编码:
立即学习“PHP免费学习笔记(深入)”;
-
client_id填你申请到的 App Key -
response_type=code固定值,表示走授权码模式 -
redirect_uri必须和平台备案的一致,用url('weibo/callback', '', true)生成带域名的完整 URL -
scope按需申请权限,如all(基础信息)、statuses_to_me_read(@我的微博)、statuses_update(发微博)等;多个用英文逗号分隔 - 建议带上
state参数防 CSRF,存入 session 后比对
拼好后用 redirect($authUrl) 跳转,用户将在微博页面完成登录和授权。
后端换取 access_token 并验证
用户授权后,微博会重定向回你的 redirect_uri,附带 code 和原始 state。此时需在 ThinkPHP 的回调方法中做以下操作:
- 检查
$_GET['state']是否与 session 中保存的一致,不一致直接拒绝 - 用 Guzzle 发起 POST 请求到
https://api.weibo.com/oauth2/access_token - 请求体必须是
application/x-www-form-urlencoded格式,参数包括:client_id、client_secret、grant_type=authorization_code、redirect_uri(再次校验)、code - 禁止前端 JS 直接调用该接口,否则
client_secret会泄露 - 成功返回 JSON,含
access_token、expires_in、uid等字段;失败则根据 error 字段排查
拿到 access_token 后,可立即调用 https://api.weibo.com/2/account/get_uid.json?access_token=xxx 验证有效性,并提取微博用户唯一标识 uid。
发布微博内容与注意事项
要调用发微博接口(如 https://api.weibo.com/2/statuses/update.json),需确保授权时已申请 statuses_update 权限,且 access_token 有效。
- 请求方式为 POST,参数包括:
access_token、status(UTF-8 编码的文本,最长 140 字) - 若需上传图片,使用
https://api.weibo.com/2/statuses/upload.json,额外传pic文件字段 - 所有接口均强制 HTTPS,HTTP 请求会被拒绝
- 微博接口有调用频次限制,生产环境注意异常捕获与降级处理
- 不要把
access_token存进 Cookie 或前端 localStorage;建议服务端加密存数据库,关联用户 ID 与过期时间
整个流程不依赖 ThinkPHP 自带的 Auth 或 Session 做跨域认证,token 是微博颁发的、带签名的短期凭证,业务系统只负责合规使用。