搞定沃尔玛Webhook验证：解决EventUrl 500错误

搞定沃尔玛 Webhook 验证：解决 EventUrl 返回 500 错误

问题来了：沃尔玛 Webhook 验证咋就 500 了？

哥们儿，你是不是也碰到了这个头疼事儿？用 Python 脚本调沃尔玛那个 v3/webhooks/test 接口，想测试下你的 Webhook Endpoint (也就是那个接收通知的 PHP 脚本 URL) 能不能正常工作。结果呢，沃尔玛那边直接给你甩回来一个 400 Bad Request，错误信息里还嵌套着一层，说你的 eventUrl 验证失败，报了个 http response code : 500。

就像这样：

{
    "errors": {
        "error": {
            "severity": "ERROR",
            "description": "EventUrl (https://example.com/price-track/wm_test/wb_test.php) validation failed with http response code : 500",
            "category": "DATA"
        }
    }
}

这就怪了！你自己用 curl 命令，模拟 POST 请求往你的 PHP Endpoint (https://example.com/price-track/wm_test/wb_test.php) 发点儿测试 JSON 数据，服务器那边处理得妥妥的，屁事没有，也确认了服务器上没跑啥防火墙捣乱。

这到底是闹哪样？明明手动 curl 测试通过，为啥沃尔玛一“体检”就挂了呢？

为啥会这样？深挖根源

别急，咱捋一捋。你看这错误信息 EventUrl (...) validation failed with http response code : 500，这其实不是说沃尔玛的 /v3/webhooks/test 接口本身出了 500 错误。

真正的流程是这样的：

1. 你的 Python 脚本向沃尔玛的 /v3/webhooks/test API 发起了一个 POST 请求。
2. 沃尔玛的服务器收到了这个请求，知道了你想测试哪个 eventUrl (https://example.com/price-track/wm_test/wb_test.php)。
3. 关键一步： 沃尔玛的服务器 从它自己的后台，向你的那个 PHP Endpoint 发送了一个模拟的 Webhook 通知请求（具体内容可能和你的 curl 不完全一样）。
4. 问题爆发点： 你的 PHP Endpoint 在处理 来自沃尔玛服务器的这个请求时，内部出了问题，崩了，然后给沃尔玛服务器返回了一个 500 Internal Server Error 的 HTTP 状态码。
5. 沃尔玛的测试接口一看，“嘿，你这 Endpoint 不行啊，连个测试都接不住，还返回 500”，于是它就中断了测试流程。
6. 最后，沃尔玛的测试接口给你的 Python 脚本返回了一个 400 Bad Request (因为你提供的数据——eventUrl——有问题，无法通过验证)，并在响应体里告诉你具体原因：“你的 EventUrl 验证失败，因为它返回了 500”。

所以，那个 500 错误，是你的 PHP 脚本 在处理沃尔玛的请求 时产生的，而不是沃尔玛的 API 本身有问题。

那为啥 curl 能行，沃尔玛就不行？原因可能藏在细节里：

• 请求内容差异： 沃尔玛实际发送的请求头 (Headers)、请求体 (Body) 可能和你手动 curl 时用的不一样。比如，User-Agent 不同，或者 JSON 数据的结构、字段有细微差别。
• 服务器环境/权限： 你的 PHP 脚本运行时可能需要写日志文件或者访问其他资源。虽然 curl 运行时没问题，但当请求来自沃尔玛的服务器 IP 时，可能触发了某些服务器配置、目录权限、甚至是 SELinux/AppArmor 规则的限制。
• PHP 错误处理： 你的 PHP 脚本里可能存在一些隐藏的 Bug 或警告 (Notice/Warning)，这些在你的 curl 测试环境下可能被抑制了或者没被注意，但在处理沃尔玛的特定请求时，它们可能升级成了致命错误 (Fatal Error)，导致 500。你 PHP 配置里的 error_reporting 和 display_errors 设置也很关键。
• 网络路径问题： 虽然少见，但不能完全排除沃尔玛服务器到你服务器之间的网络路径上存在特定问题，导致请求到达你的服务器时已经不完整或被篡改（可能性较低，但也要考虑）。

怎么办？挨个试试这些招

既然找到了病根儿（很可能在你的 PHP Endpoint 或服务器环境上），那咱们就对症下药。

招式一：查明 PHP 端点的“真凶” - 详细错误日志

光靠猜测没用，得让你的 PHP 脚本自己“说话”。目标是捕捉到那个 500 错误发生时的具体 PHP 错误信息。

原理： 默认情况下，生产环境的 PHP 可能配置为不显示错误信息给浏览器，也不一定会记录所有级别的错误。我们需要强制它记录下来。

操作步骤：

1. 强化 PHP 错误报告:
   在你的 wb_test.php 文件开头，加上这几行，确保所有错误都被报告，并且记录到指定文件：

   <?php
       // --- 新增开始 ---
       ini_set('display_errors', 1); // 暂时开启屏幕输出错误 (调试用，生产环境务必设为 0)
       ini_set('log_errors', 1);      // 开启错误日志记录
       ini_set('error_log', __DIR__ . '/php_error.log'); // 指定错误日志文件路径 (确保该文件可写)
       error_reporting(E_ALL);       // 报告所有类型的错误
       // --- 新增结束 ---
   
       http_response_code(200); // 这行可以暂时注释掉，让真实的 HTTP code 返回
   
       // ... (你原来的代码) ...
   
       header("Access-Control-Allow-Origin: *");
       header("Access-Control-Allow-Methods: POST, GET, OPTIONS");
       // ...
   
       $method = $_SERVER['REQUEST_METHOD'];
   
       // --- 在处理前记录更多信息 ---
       $raw_input = file_get_contents('php://input');
       $headers = getallheaders();
       $log_entry = sprintf(
           "[%s] Method: %s\nHeaders: %s\nRaw Body: %s\n",
           date("Y-m-d H:i:s"),
           $method,
           print_r($headers, true),
           $raw_input
       );
       file_put_contents(__DIR__ . "/detailed_webhook.log", $log_entry, FILE_APPEND);
       // --- 记录结束 ---
   
       if ($method === 'POST') {
           // 使用 $raw_input 而不是重新读取
           // $json_data = file_get_contents('php://input'); // 这行可以注释掉或删掉
   
           // file_put_contents("webhook_log.log", date("Y-m-d H:i:s") . " - " . $raw_input . PHP_EOL, FILE_APPEND); // 这个日志和上面 detailed_webhook.log 有点重复了
   
           $decoded_data = json_decode($raw_input, true);
           if ($decoded_data === null && json_last_error() !== JSON_ERROR_NONE) { // 更加严谨的 JSON 错误判断
               $json_error_msg = json_last_error_msg();
               file_put_contents(__DIR__ . "/webhook_error.log", date("Y-m-d H:i:s") . " - JSON Decode Error: " . $json_error_msg . PHP_EOL, FILE_APPEND);
               http_response_code(400);
               echo json_encode(["error" => "Invalid JSON received", "details" => $json_error_msg]);
               exit;
           }
   
           // 模拟处理成功
           http_response_code(200); // 确保成功路径真的返回 200
           echo json_encode(["message" => "Webhook received successfully by PHP"]); // 稍微改下消息，区分是PHP的响应
           exit;
   
       } else if ($method === 'GET') { // 添加 GET 方法的区分处理
            http_response_code(200);
            echo json_encode(["msg" => "This Is Get Method Received"]);
            exit;
       } else {
            // 处理其他方法，比如 OPTIONS (浏览器预检请求可能会用到)
            http_response_code(405); // Method Not Allowed
            echo json_encode(["error" => "Method not allowed"]);
            exit;
       }
   ?>
   

2. 检查文件权限： 确保你的 Web 服务器进程（比如 www-data, apache, nginx）有权限在 wb_test.php 所在的目录下创建和写入 php_error.log 和 detailed_webhook.log 文件。你可以用 chmod 或 chown 命令调整。

   # 找到你的 web 目录
   cd /path/to/your/price-track/wm_test/
   # 尝试让服务器用户拥有写权限 (示例，具体用户可能不同)
   touch php_error.log detailed_webhook.log webhook_error.log
   # chown www-data:www-data php_error.log detailed_webhook.log webhook_error.log # 如果知道用户，可以用 chown
   chmod 664 php_error.log detailed_webhook.log webhook_error.log # 或者给写入权限
   

3. 重新触发测试： 再次运行你的 Python 脚本，调用沃尔玛的测试 API。

4. 查看日志：

   • 检查 php_error.log 文件。如果 PHP 执行过程中有任何错误（Notice, Warning, Fatal error），这里应该会有记录，这通常是 500 错误的直接原因。
   • 检查 detailed_webhook.log 文件。这里会记录每次请求（包括沃尔玛来的和你的 curl 来的）的方法、所有请求头、以及原始的请求体。对比沃尔玛的请求和你 curl 的请求，看看有啥不一样。
   • 检查 webhook_error.log，看看是不是 JSON 解析出了问题。

安全建议：
调试完成后，记得把 ini_set('display_errors', 0); 设置回去，避免在生产环境暴露敏感错误信息。错误日志 (log_errors, error_log) 在生产环境是推荐开启的。

招式二：模拟沃尔玛的“体检” - 精确复现请求

既然怀疑沃尔玛的请求和你的 curl 不一样，那就想办法模拟得更像一点。

原理： 使用 curl 的更多参数，或者借助 Postman 这样的工具，来尽可能模仿沃尔玛可能发送的请求。

操作步骤：

1. 分析日志（接招式一）： 查看 detailed_webhook.log 中沃尔玛实际发来的请求头（Headers: 部分）和请求体（Raw Body: 部分）。

2. 构造 curl 命令： 基于日志中的信息，构造一个更精确的 curl 命令。

   # 示例：假设从日志看到沃尔玛用了 POST, 特定 User-Agent, Content-Type, 和特定 JSON 体
   curl -X POST 'https://example.com/price-track/wm_test/wb_test.php' \
   -H 'Content-Type: application/json' \
   -H 'User-Agent: Walmart-Webhook-Tester/1.0' \
   -H 'WM_EVENT_ID: some-unique-id-from-walmart' \
   # ... 其他从日志里看到的沃尔玛可能发送的 header ...
   -d '{
       "source": {
           "SourceId": "walmart-source-id",
           "Timestamp": "2025-02-04T12:36:28Z"
       },
       "payload": {
           "partnerId": "...",
           "offerId": "...",
           "sku": "...",
           "reason": "Some reason from Walmart",
           "status": "UNPUBLISHED"
           # ... 其他可能的 payload 结构 ...
       },
       "event": {
           "eventId": "evt_xxxxxxxx",
           "eventTimestamp": "2025-02-04T12:36:28Z",
           "eventType": "OFFER_UNPUBLISHED", # 这个和你测试请求里的一致
           "eventVersion": "V1"
       }
   }' \
   -v # 使用 -v 参数显示详细的请求和响应信息
   

   • 注意： 上面的 -H 和 -d 的内容需要根据你从 detailed_webhook.log 里实际看到的沃尔玛请求来填写。沃尔玛测试 Webhook 时发送的确切 payload 结构需要参考沃尔玛的开发者文档或日志。 payload 可能跟你 python 脚本发给 /test 接口的那个 notification_payload 不同。/test 接口只是触发测试，沃尔玛后台发给 endpoint 的 payload 是模拟真实事件的。

3. 测试： 执行这个精密的 curl 命令。如果这个命令也导致你的 PHP 脚本报 500（或者在 php_error.log 里留下错误），那就说明问题确实出在你的 PHP 代码如何处理这种特定请求上。如果这个 curl 没问题，那可能还有其他因素（比如请求来源 IP）。

进阶使用技巧：

• 使用 ngrok： 如果你的开发环境在本地或者防火墙后面，用 ngrok 这类工具可以创建一个公网能访问的临时 URL，直接映射到你本地的开发服务器端口。这样你就可以把 ngrok 生成的 URL (https://xxxxx.ngrok.io/price-track/wm_test/wb_test.php) 提供给沃尔玛测试，同时在 ngrok 的 Web 界面 (通常是 http://localhost:4040) 实时查看沃尔玛发来的完整请求细节（Headers, Body），非常方便调试。

招式三：服务器权限和配置 - 老大难问题

有时候代码没问题，是服务器环境在“作妖”。

原理： Web 服务器（如 Apache, Nginx）或 PHP 运行环境（如 PHP-FPM）的配置错误、文件/目录权限不足，都可能导致脚本执行失败，返回 500。

操作步骤：

1. 检查 Web 服务器错误日志：
   • Apache: 通常在 /var/log/apache2/error.log 或 /var/log/httpd/error.log。
   • Nginx: 通常在 /var/log/nginx/error.log。
   • 查看这些日志，在沃尔玛测试触发的时间点附近，有没有记录相关的错误信息？比如 "permission denied", "script not found", "configuration error" 等。
2. 检查 PHP-FPM 日志（如果使用）： PHP-FPM 通常也有自己的错误日志，路径在 PHP-FPM 配置文件 (php-fpm.conf 或 www.conf) 中指定，查找类似 error_log = /path/to/php-fpm.log 的设置。
3. 再次确认文件权限：
   • 用 ls -l /path/to/your/price-track/wm_test/wb_test.php 检查 PHP 脚本本身的权限，确保 Web 服务器用户有读取和执行权限（通常是 644 或 755）。
   • 确认日志文件 (php_error.log, detailed_webhook.log, webhook_log.log) 及其所在目录对 Web 服务器用户是可写 的。权限问题是导致 500 的常见元凶之一，尤其是脚本尝试写日志失败时。
4. 检查 .htaccess 或 Nginx 配置： 看看是否有 URL 重写规则、访问控制规则 (Allow/Deny 或 Nginx 的 allow/deny)、或者其他指令影响了对 wb_test.php 的访问，特别是针对 POST 请求或特定来源 IP 的规则。
5. 检查 SELinux/AppArmor (如果启用): 在某些 Linux 发行版上，安全模块 SELinux 或 AppArmor 可能阻止 Web 服务器写入文件或建立网络连接。检查系统日志 (/var/log/audit/audit.log 或 /var/log/syslog) 中是否有相关的拒绝(denied)信息。可以尝试临时禁用它们来测试（setenforce 0 临时禁用 SELinux），但不推荐在生产环境长期禁用。

安全建议：
修改文件权限时，遵循最小权限原则。不要随意给 777 权限。仅授予 Web 服务器用户所需的最小读/写/执行权限。

招式四：检查 PHP 代码 - 万无一失了吗？

虽然 curl 能过，但可能沃尔玛的请求触发了 PHP 代码中某个平时没走到的分支，或者某个依赖的假设不成立了。

原理： 代码逻辑可能存在边界情况、未处理的异常、或者对请求数据的隐式依赖。

操作步骤：

1. 审视 Header 处理： 你的 PHP 代码目前用 getallheaders() 获取头信息并记录，这是好的。但后续逻辑有没有依赖某个特定的 Header？比如，是否期望某个 Header 一定存在？沃尔玛的请求可能不包含你期望的所有 Header。
2. 审视 Body 处理： json_decode($raw_input, true) 之后的 $decoded_data，你的代码是如何使用它的？是否有对特定键 (key) 存在的假设？如果沃尔玛发送的 JSON 结构和你预期的不同，访问一个不存在的键可能会产生 PHP Notice 或 Warning，如果错误处理不当，可能升级为 500。
3. 确保所有路径都有响应： 检查你的 if ($method === 'POST') 和 else 分支。确保任何可能的执行路径（包括意外的 REQUEST_METHOD）最终都会输出响应并 exit。你已经为 GET 添加了处理，这很好，考虑再加一个 else 处理其他所有方法。
4. 外部依赖和资源： 你的 wb_test.php 是否还包含了其他文件 (require/include)？是否连接了数据库？是否调用了其他外部 API？这些操作都可能失败并导致 500。在这些操作前后都加上日志，看问题出在哪一步。
5. 资源限制： 虽然不太可能，但如果沃尔玛发送的数据量特别大，或者你的 PHP 脚本处理逻辑复杂，可能会触碰到服务器的内存限制 (memory_limit) 或执行时间限制 (max_execution_time)。检查 php_error.log 通常能发现这类问题。

招式五：Content-Type 对对碰

请求头里的 Content-Type 是个微妙的地方。

原理: 你的 Python 代码在发给沃尔玛的请求头和 payload 里都设置了 Content-Type: application/json; (注意末尾的分号)。这个分号是非标准的，虽然很多服务器能容忍，但也有可能导致问题。沃尔玛服务器转发给你的 PHP endpoint 时，它使用的 Content-Type 是什么？你的 PHP 脚本是否严格依赖这个头？

操作步骤:

1. 清理 Python 代码中的 Header:
   尝试去掉 Accept 和 Content-Type 以及 payload 中 content-type 末尾的分号;。标准写法是 application/json。

   # 在 test_notification 函数里修改 headers 和 notification_payload
   
   headers = {
       "Accept": "application/json", # 去掉分号
       "Content-Type": "application/json", # 去掉分号
       "WM_SEC.ACCESS_TOKEN": access_token,
       "WM_SVC.NAME": "Walmart Marketplace",
       "WM_QOS.CORRELATION_ID": "vemutriruvelganuku6arksogaueora6"
   }
   
   notification_payload = {
       "eventType": event_type,
       "eventVersion": "V1",
       "resourceName": resourceName,
       "eventUrl": evt_url,
       "headers": {
           "content-type": "application/json" # 去掉分号
       }
   }
   
   # ... rest of the python code ...
   

2. 检查 PHP 收到的 Content-Type:
   利用“招式一”中添加的 detailed_webhook.log，仔细看沃尔玛请求的 Headers: 部分，Content-Type (或者 content-type，大小写可能不同) 的确切值是什么？

3. PHP 代码中检查 Content-Type (可选但推荐): 如果你的端点只接受 JSON，可以在处理 POST 请求前做个检查：

   <?php
       // ... (错误处理和日志记录代码) ...
   
       $method = $_SERVER['REQUEST_METHOD'];
       $headers = getallheaders(); // 你已经获取了 headers
   
       // ... (记录日志的代码) ...
   
       if ($method === 'POST') {
   
           // --- 新增: Content-Type 检查 ---
           $content_type = '';
           // Header 的 key 可能是 'Content-Type' 或 'content-type'，做个不区分大小写的查找
           foreach ($headers as $key => $value) {
               if (strtolower($key) === 'content-type') {
                   $content_type = trim(explode(';', $value)[0]); // 取分号前的部分并去除空格
                   break;
               }
           }
   
           if ($content_type !== 'application/json') {
               file_put_contents(__DIR__ . "/webhook_error.log", date("Y-m-d H:i:s") . " - Invalid Content-Type received: " . ($headers['Content-Type'] ?? 'Not Provided') . PHP_EOL, FILE_APPEND);
               http_response_code(415); // Unsupported Media Type
               echo json_encode(["error" => "Unsupported Media Type. Expected application/json", "received" => ($headers['Content-Type'] ?? 'Not Provided')]);
               exit;
           }
           // --- 检查结束 ---
   
           $raw_input = file_get_contents('php://input');
           // ... (后续的 JSON 解码和处理) ...
   
       } else {
           // ... (GET 或其他方法的处理) ...
       }
   ?>
   

把这些招式一个个试过去，特别是从招式一开始，详细的日志通常能直接告诉你 PHP 代码错在哪里。祝你好运，顺利搞定这个 500！