Authorization头必须加"Bearer "前缀且后跟空格;POST数据需匹配Content-Type(JSON需json_encode并设application/json);curl_exec失败时须用curl_error排查,HTTPS生产环境不可禁用证书验证。
curl_setopt 设置 Authorization 头时忘记加 Bearer 前缀
PHP 用 curl_setopt 模拟 POST 请求带鉴权,最常见问题是把 token 直接塞进 Authorization 头,漏掉 Bearer (注意后面有空格)。服务端通常直接返回 401 Unauthorized 或 invalid token,但错误信息未必明确提示缺前缀。
实操建议:
- 始终用
"Authorization: Bearer " . $token拼接,别依赖服务端自动补全 - 检查 token 是否含非法字符(如换行、空格),可用
trim($token)预处理 - 若 token 来自 JWT,确保没被 base64_decode 过度解码——原始 token 就是字符串,直接传
POST 数据格式不匹配导致鉴权失败
有些接口要求 Content-Type: application/json,但你用 curl_setopt($ch, CURLOPT_POSTFIELDS, $data) 直接传数组,cURL 默认发 application/x-www-form-urlencoded,服务端可能在解析 body 前就因 header 不匹配拒绝鉴权。
实操建议:
- 发 JSON:先
json_encode($data),再设Content-Type: application/json - 发表单:保持
array类型传给CURLOPT_POSTFIELDS,不手动 urlencode - 发 raw 字符串(如 XML):用
http_build_query()或直接拼,同时显式设对应Content-Type
curl_exec 返回空或 false,但没检查 curl_error
鉴权失败时,curl_exec 可能返回 false,而 curl_getinfo($ch, CURLINFO_HTTP_CODE) 是 0。这时候不调 curl_error($ch),就卡在“请求没发出去”还是“服务端拒了”的误判里。
实操建议:
- 每次
curl_exec后立刻检查:if ($res === false) { echo curl_error($ch); } - 开启
CURLOPT_FAILONERROR让 cURL 对 4xx/5xx 自动返回 false(但注意它不影响连接失败) - 调试阶段加上
CURLOPT_VERBOSE输出底层交互,尤其看 Authorization 头是否真发出去了
HTTPS 请求忽略证书验证引发连接中断
本地测试时关了 CURLOPT_SSL_VERIFYPEER 和 CURLOPT_SSL_VERIFYHOST,上线后遇到自签名或过期证书,cURL 直接中止连接,根本到不了鉴权环节。错误常表现为 SSL certificate problem 或超时。
实操建议:
- 生产环境必须保留证书验证,用
CURLOPT_CAINFO指向最新 CA bundle(如./cacert.pem) - 若对方用私有 CA,把他们的根证书追加进 CA bundle,别设
CURLOPT_SSL_VERIFYPEER => false - 用
openssl s_client -connect host:443 -servername host手动验证书链是否完整
