PHP怎样对接数美AI内容安全_传文本调检测模型获分级【准法】

数美文本检测唯一可用接口是/v4/text/scene；需POST提交UTF-8 JSON，指定scene、控制单次≤20条且每条≤5000字符；签名含nonce、时间戳和固定格式原文；返回结果中result.level和result.label需分级解析；SSL报错应配CA证书而非禁用校验。

数美 API 接口选哪个？/v4/text/scene 是当前文本检测唯一可用路径

数美 AI 内容安全服务对文本的检测，目前只开放 /v4/text/scene 这一个标准接口。旧版 /v3/text 已下线，调用会返回 404 Not Found 或 410 Gone；别被文档残留或过期示例误导。

该接口支持多场景（如评论、私信、弹幕），需在请求体中显式传 "scene": "comment" 等值；不传或传错会导致 scene_not_support 错误。

• 必须使用 POST 方法，且 Content-Type 为 application/json
• 请求体必须是 UTF-8 编码的 JSON，中文不能被 urlencode 或转义成 \uXXXX
• 单次最多提交 20 条文本（texts 数组长度 ≤20），超长直接拒收
• 每条文本长度上限 5000 字符，超出部分会被截断且不报错——容易漏检，务必前端预检

PHP 怎么发带签名的请求？重点在 Authorization 头和 nonce 生成

数美要求所有请求头携带 Authorization，格式为：SM2-HMAC-SHA256 Credential=xxx, SignedHeaders=content-type;host;x-sm-auth-nonce;x-sm-auth-timestamp, Signature=xxx。PHP 自己拼太容易出错，建议封装签名函数。

关键点不是算法本身，而是三个易错细节：

• x-sm-auth-nonce 必须是 16 位随机字符串（仅字母+数字），重复使用同一 nonce 会导致 invalid_nonce
• x-sm-auth-timestamp 是毫秒级时间戳（round(microtime(true) * 1000)），误差超过 300 秒即拒收
• HMAC 签名原文顺序固定：HTTP_METHOD\nURI\nQUERY_STRING\nHEADERS_STRING\nPAYLOAD_HASH，少一行或多空格都会验签失败

$secretKey = 'your_secret_key_here';
$accessKey = 'your_access_key_here';
$nonce = bin2hex(random_bytes(8));
$timestamp = round(microtime(true) * 1000);
$body = json_encode([
    'texts' => ['测试文本内容'],
    'scene' => 'comment'
]);
$payloadHash = hash('sha256', $body);
$canonicalRequest = "POST\n/v4/text/scene\n\ncontent-type:application/json;host:as.dun.163.com;x-sm-auth-nonce:{$nonce};x-sm-auth-timestamp:{$timestamp}\n{$payloadHash}";
$signature = hash_hmac('sha256', $canonicalRequest, $secretKey);
$authHeader = "SM2-HMAC-SHA256 Credential={$accessKey}, SignedHeaders=content-type;host;x-sm-auth-nonce;x-sm-auth-timestamp, Signature={$signature}";

返回结果怎么解析分级？重点关注 result.level 和 result.label

数美返回的 JSON 中，每个文本结果嵌套在 result 字段下，不是顶层字段。常见误读是直接取 $res['level']——实际路径是 $res['result'][0]['level']（数组第一项）。

level 值为数字：0=正常，1=嫌疑，2=确定违规；但法务合规真正依赖的是 label（字符串），例如 "politics"、"porn"、"ad"。不同 label 对应不同处置策略，不能只看 level。

• 若 result 为空数组或缺失，说明检测失败（如文本过短、含非法字符），需记录日志并人工复核
• review 字段为 true 表示需人工审核，此时 level 仅为初筛参考，不可自动拦截
• 响应里可能有 trace_id，投诉溯源时必须保留，否则数美无法查原始请求

cURL 报 SSL certificate problem 怎么办？别关校验，改 CA 路径

本地开发环境（尤其 Windows + XAMPP / WAMP）常因 PHP cURL 缺失可信 CA 证书而报错 SSL certificate problem: unable to get local issuer certificate。禁用 CURLOPT_SSL_VERIFYPEER 是危险操作，生产环境绝对禁止。

正确做法是下载最新 CA 包并配置 PHP：

• 从 https://www./link/5fe4dadcdb001d8566cd20e6d8a20251 下载 cacert.pem，存到项目目录如 ./certs/cacert.pem
• cURL 初始化时加：curl_setopt($ch, CURLOPT_CAINFO, __DIR__ . '/certs/cacert.pem');
• 或全局配置 php.ini：curl.cainfo = "/absolute/path/to/cacert.pem"（注意必须是绝对路径）

没配对的证书路径会导致请求根本发不出去，错误信息却藏在 curl_error($ch) 里，不主动检查就以为是 API 问题。