PHP调用小米IoTAPI控制设备方法

本文深入解析了PHP开发者调用小米IoT平台API的核心难点与实战要点，涵盖带签名的POST请求构造（含timestamp、nonce、urlencode及SHA256签名的精确规则）、设备状态获取失败的常见原因（如属性名大小写敏感、model不匹配、props格式错误），以及access_token和secret_key的安全存储方案（根目录外配置、数据库/Redis持久化），同时澄清了SSL证书验证失败的本质原因并给出cURL安全配置的最佳实践——每一步都直击生产环境高频踩坑点，助你避开401 Unauthorized、空数组响应、token泄露和SSL握手失败等典型陷阱。

怎么用 PHP 发起带签名的 POST 请求到小米 IoT 平台

小米 IoT 平台所有 API 都要求在请求头中携带 X-Xiaomi-App-Sign，它不是简单 token，而是对请求参数、时间戳、密钥按规则拼接后做 sha256 签名。漏掉时间戳或参数顺序错一位，401 Unauthorized 就立刻报给你。

实操建议：

• timestamp 必须是当前秒级 Unix 时间戳（不是毫秒），且服务器时间与小米服务器偏差不能超过 300 秒，建议用 time() 而非 microtime(true)
• 待签名原文格式为：method=POST&path=/v2/device/{did}/prop¶ms={"props":["power"]}×tamp=1718234567&nonce=abc123&key=your_secret_key —— 注意 params 是 JSON 字符串（不换行、无空格），不是 PHP 数组
• 签名前必须对整个字符串做 urlencode()，再用 hash_hmac('sha256', $urlencoded_string, $secret_key) 计算
• 最终把签名结果转成小写十六进制字符串，填入请求头 X-Xiaomi-App-Sign

调用 GET /v2/device/{did}/prop 获取设备状态时为啥总返回空数组

不是接口挂了，大概率是 props 参数传错了格式或设备不支持该属性名。小米对属性名大小写、下划线、是否加 value 后缀都敏感，而且不同设备模型支持的属性完全不同。

实操建议：

• 先调用 GET /v2/device/{did} 查看 model 字段，比如返回 yeelink.light.ceiling1，再去小米开放平台文档查这个 model 支持哪些 prop
• props 必须是 JSON 数组字符串，如 ["power", "bright"]，不能是 "power,bright" 或 ["power", "bright"] 带空格/换行
• 某些设备（如部分插座）的开关状态叫 on_off 而非 power；灯泡亮度可能是 brightness 或 bright，得看具体 model 文档
• 如果返回 {"code":0,"message":"ok","result":[]}，说明参数合法但没查到值 —— 多半是属性名不匹配

PHP 里怎么安全存小米 access_token 和 secret_key

别硬编码在 .php 文件里，也别放 web 可访问目录下。小米的 secret_key 泄露等于交出设备控制权，access_token 过期后需刷新，但刷新本身又依赖 refresh_token 和 secret_key。

实操建议：

• secret_key 必须存在 Web 根目录外的配置文件中，比如 /etc/xiaomi/config.php，用 require_once 引入，且该路径不能被 Apache/Nginx 直接响应
• access_token 和 refresh_token 建议存数据库（加过期时间字段）或 Redis（设 TTL），不要靠 session 或文件缓存 —— 多进程下容易覆盖
• 刷新 token 的接口 POST /v2/user/login 需重传 grant_type=refresh_token + refresh_token + client_id + client_secret，漏一个就 400 Bad Request

为什么用 cURL 调用成功，但用 file_get_contents + stream_context_create 就报 SSL certificate problem

小米 API 域名（api.io.mi.com）证书链完整，问题出在 PHP 默认不校验 CA 证书，而小米强制要求 TLS 1.2+ 且服务端证书有效。用 file_get_contents 时若没显式配置 SSL 上下文，它可能降级或跳过验证，触发连接中断。

实操建议：

• 禁用 verify_peer 或设 cafile 是下策；正确做法是确保系统有最新 CA 包（如 CentOS 用 update-ca-trust，Ubuntu 用 apt install ca-certificates）
• 用 cURL 更可控：必须设 curl_setopt($ch, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2)，并确认 CURLOPT_CAINFO 指向系统 CA 路径（如 /etc/pki/tls/certs/ca-bundle.crt）
• 如果 PHP 版本 CURLOPT_SSL_VERIFYPEER 默认为 true 但可能找不到 CA，此时宁可明确指定 CURLOPT_CAINFO，也不要关验证

签名逻辑、属性名、token 存储这三块最容易反复踩坑，尤其是跨设备调试时，同一个 props 数组在 A 设备返回正常，在 B 设备为空 —— 八成是 model 不匹配，别急着改代码，先查文档。

今天关于《PHP调用小米IoTAPI控制设备方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！