必须用 file_get_contents('php://input') 获取原始 XML 数据，再结合 $_GET['msg_signature']、$_GET['timestamp']、$_GET['nonce'] 及 Token 按指定顺序 SHA1 签名验证，通过后方可解析 XML 提取 Event、CardId、UserCardCode 等字段。

微信卡券事件推送的原始数据怎么获取

微信服务器向你的 PHP 后端推送卡券事件（如用户领券、核销、删除）时，**不会以 $_POST 或 $_GET 形式传递参数**，而是通过 HTTP POST 以 XML 格式直接发送原始 body 数据。这意味着：$_POST 始终为空，file_get_contents('php://input') 是唯一可靠入口。

• 必须用 file_get_contents('php://input') 读取原始请求体，不能依赖 $_POST
• 微信签名验证前，**不能先调用 simplexml_load_string() 或其他解析操作**，否则可能因非法 XML 导致脚本崩溃，失去验证机会
• 若使用框架（如 Laravel、ThinkPHP），需确认是否自动解析了请求体；Laravel 中应使用 $request->getContent()，而非 $request->all()

如何正确验证微信推送签名

微信要求你校验 msg_signature、timestamp、nonce 和原始 XML 内容四者联合签名，缺一不可。失败即说明不是微信官方推送，应直接丢弃。

• 从 URL 参数中提取三个关键值：$_GET['msg_signature']、$_GET['timestamp']、$_GET['nonce']
• 原始 XML 数据（来自 php://input）必须**原样参与签名计算**，不能提前 trim()、htmlspecialchars() 或转码，否则签名不匹配
• 签名算法是 SHA1，拼接顺序为：token . timestamp . nonce . xml（注意：不是按字母序，也不是含空格）
• PHP 示例中务必使用 sha1()，而非 md5() 或 hash('sha256', ...)

function checkSignature($xml, $msgSig, $timestamp, $nonce, $token) {
    $tmpArr = array($token, $timestamp, $nonce, $xml);
    sort($tmpArr, SORT_STRING);
    $tmpStr = implode($tmpArr);
    return sha1($tmpStr) === $msgSig;
}

解析 XML 后如何提取关键卡券事件字段

签名通过后才能安全解析 XML。微信卡券事件的 结构固定，但不同事件（user_get_card、user_consume_card、user_delete_card）携带的子节点差异大，需按 Event 和 CardId 区分处理逻辑。

• Event 字段决定事件类型，值为字符串，如 user_get_card（领券）、user_consume_card（核销）
• CardId 是卡券唯一 ID，用于查库关联优惠规则；OrderId 仅在核销事件中存在，对应商户订单号
• UserCardCode 是用户所持该卡的唯一编码，每次领券生成一个新码，**不是用户 openid** —— 核销时必须用它查卡状态
• 注意 IsGiveByFriend（是否他人转赠）和 FriendUserName（转赠人 openid），影响权益归属判断

$xml = file_get_contents('php://input');
$obj = simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA);
$event = (string)$obj->Event;
$cardId = (string)$obj->CardId;
$userCardCode = (string)$obj->UserCardCode;

常见失败原因和调试建议

线上收不到推送、验签失败、解析出空值——90% 源于这几个点。

• 服务器返回非 200 状态码（如 500、404、301），或响应体含多余空格/UTF-8 BOM，微信会判定回调失败并停止推送
• PHP 开启了 always_populate_raw_post_data（已废弃）或设置了 enable_post_data_reading = Off，导致 php://input 为空
• 未在微信公众号后台「卡券功能」→「事件通知」中开启对应事件，或填写的 URL 域名未备案 / 未配好 HTTPS（微信强制要求）
• 本地调试时用微信「开发者工具」模拟推送，但没把 msg_signature 等参数拼到 URL 上，造成验签必然失败

最稳妥的调试方式：在验签前先记录原始 php://input 和 $_GET 到日志文件，再比对签名逻辑 —— 卡券回调的容错极低，差一个字符就全盘失效。