PHP推送钉钉机器人消息教程详解

本文详解了PHP实现钉钉自定义机器人消息推送的关键要点与常见陷阱，重点强调自2024年起钉钉已强制要求所有请求必须通过timestamp（毫秒级整数）和sign（基于HMAC-SHA256算法，原文为"$timestamp\n$secret"，并严格进行base64_encode后urlencode）双重加签验证，裸token方式彻底失效；同时厘清了markdown消息中title（仅纯文本、顶部显示、限20字符）与text（真正渲染markdown内容）的职责边界，并警示生产环境中务必启用SSL证书校验（CURLOPT_SSL_VERIFYPEER => true），避免因安全配置疏漏引发告警劫持或敏感信息泄露——每一步细节都可能决定推送成败，堪称一份避坑指南级的实战教程。

钉钉自定义机器人必须加签才能通过安全校验，不加签的请求会被直接拒绝——这是 2024 年起全量生效的强制策略，不是可选项。

为什么 curl 请求返回 {"errcode":310000,"errmsg":"invalid signature"}

这是最常见也最容易卡住的问题：你用了带 access_token 的 webhook 地址，但没带 timestamp 和 sign 参数。钉钉现在只接受「签名版」请求，旧的裸 token 方式已失效。

• timestamp 必须是毫秒级整数（time() * 1000），且与签名生成时用的完全一致
• sign 是用 HMAC-SHA256 算出来的，密钥是机器人后台设置的 secret，原文是 "$timestamp\n$secret"
• 注意：urlencode(base64_encode(...)) 缺一不可，漏掉 urlencode 就会 400
• 不要手动拼接 URL 查询参数后又用 curl_setopt($ch, CURLOPT_POSTFIELDS, ...) 发空 body——签名必须体现在 URL 上，body 只管消息结构

sendDingMessage() 函数里 CURLOPT_SSL_VERIFYPEER 设为 false 的风险

开发调试时关 SSL 校验很香，但上线必须改回来。否则中间人攻击下，webhook 请求可能被劫持或伪造，导致告警被发到错误群、甚至泄露敏感字段（比如 access_token 或日志内容）。

• 生产环境应保持 CURLOPT_SSL_VERIFYPEER => true 和 CURLOPT_SSL_VERIFYHOST => 2
• 若遇到证书问题，优先更新系统 CA 证书包，而不是降级 curl 安全配置
• 钉钉域名 oapi.dingtalk.com 的证书由 Aliyun 或 DigiCert 签发，主流 PHP 环境默认支持

发 markdown 消息时标题不显示？

钉钉对 markdown 类型要求严格：title 字段只在客户端顶部栏展示，且仅支持纯文本（不解析 markdown 语法），而正文 text 才真正渲染 markdown 内容。很多人把标题写进 text 里，结果发现顶部没标题、正文却多了一行“# 标题”，这就是字段错位。

• 正确结构：{"msgtype":"markdown","markdown":{"title":"部署完成","text":"## ✅ 成功\\n- 服务: api-v2.3\\n- 时间: `2026-05-06`"}}
• title 最长 20 字符，超长会被截断；text 支持有限子集（不支持表格、HTML、嵌套列表）
• 如果 title 为空或缺失，部分旧版钉钉客户端可能忽略整条消息

加签逻辑和消息体结构必须同步校验，少一个 urlencode、多一个空格、时间戳单位错成秒——都会让钉钉返回签名错误，且不会告诉你具体哪错了。

今天关于《PHP推送钉钉机器人消息教程详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！