PHP调用阿里云短信验证码教程

本文详细讲解了PHP调用阿里云短信服务发送验证码的最新、最稳妥实践，重点强调必须使用基于TeaDSL的新版SDK（alibabacloud/tea-openapi与dysmsapi-20170525），彻底摒弃已废弃的旧版；从Composer安装、PHP环境要求（≥7.2且allow_url_fopen开启），到参数构造（PhoneNumbers格式、TemplateCode精准匹配、TemplateParam必须为JSON字符串）、响应校验（务必检查Code字段而非HTTP状态码），再到生产必备的Redis防重与频率控制，手把手避开90%开发者踩过的坑——比如类未加载、静默失败、模板变量不匹配、限流误判和重复发信扣费，真正帮你把验证码功能跑稳、跑省、跑安全。

阿里云短信 SDK 的 PHP 安装与初始化必须用 AlibabaCloud\Tea\Exception\TeaException 对应的 v2 版本

阿里云官方已废弃旧版 aliyun-openapi-php-sdk（基于 TopClient），当前唯一稳定支持的是基于 TeaDSL 的新版 SDK：alibabacloud/tea-openapi 和 alibabacloud/dysmsapi-20170525。用错版本会导致 Class not found 或 InvalidAccessKeyId 等错误，不是密钥问题，是 SDK 根本没加载对类。

推荐用 Composer 安装：

composer require alibabacloud/tea-openapi alibabacloud/dysmsapi-20170525

注意两点：

• 不要手动 require 一堆 .php 文件——新版全靠 autoloader
• PHP 版本需 ≥ 7.2（TeaException 依赖 Throwable）
• 若用宝塔或共享主机，确认 allow_url_fopen 开启，否则 SDK 内部 HTTP 请求会静默失败

Dysmsapi\CreateSendSmsRequest 的必填字段和模板变量写法要严格匹配控制台配置

发短信不是拼 URL，所有参数都走 CreateSendSmsRequest 对象。最容易出错的是这三项：

• PhoneNumbers：必须是字符串，多个手机号用英文逗号分隔，不能带空格，例如 "13800138000,13900139000"；传数组会报 InvalidParameter.PhoneNumber
• TemplateCode：必须和短信模板审核通过后的编码完全一致，比如 "SMS_234567890"，大小写、下划线一个都不能错
• TemplateParam：必须是 JSON 字符串（不是 PHP 数组），且键名要和模板中 ${code}、${product} 完全一致。例如模板里写的是 您的验证码是${code}，5分钟内有效，那就要传 '{"code":"123456"}'

漏掉 TemplateParam 或类型不对，控制台日志会显示 TemplateParam is empty，但 SDK 不抛异常，只返回 Message: OK + Code: OK，实际根本没发出去。

发送验证码时必须校验 SendSmsResponse 中的 Code 字段，不能只看 HTTP 状态码

阿里云 API 即使业务失败也常返回 HTTP 200，真正成败看响应体里的 Code。常见错误值有：

• "isv.BUSINESS_LIMIT_CONTROL"：触发了同一手机号 60 秒内限 1 条
• "isv.OUT_OF_SERVICE"：签名或模板未通过审核，或被停用
• "isv.INVALID_PARAMETERS"：PhoneNumbers 格式错、SignName 拼写错、TemplateCode 不存在

正确判断方式：

$response = $client->sendSms($request);
if ($response->body->Code !== 'OK') {
    throw new \RuntimeException('短信发送失败：' . $response->body->Message);
}

别用 isset($response->body->Message) 判断——成功时 Message 也是存在的，值为 "OK"。

生产环境必须加 Redis 防重和频率限制，SDK 本身不处理业务逻辑

SDK 只负责调用 API，验证码防刷、重复发送、过期校验全得自己做。典型漏点：

• 没存 Redis 验证码，用户刷新页面就重发，费用白花
• 用 time() + 300 存过期时间，但没在发送前查 Redis 是否已存在未过期记录
• 手机号没做格式标准化（如自动去掉 +86、空格、短横线），导致同个号多次发

建议结构：

$key = 'sms:verify:' . preg_replace('/[^0-9]/', '', $phone);
$code = rand(100000, 999999);
$exists = $redis->get($key);
if ($exists) {
    throw new \LogicException('60秒内已发送，请稍后再试');
}
$redis->setex($key, 300, $code); // 5分钟过期

阿里云接口本身没有“撤回”或“查状态”能力，发出去就不可逆。发之前多一层检查，比事后查账单有用得多。

今天关于《PHP调用阿里云短信验证码教程》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！