加密
简介
Laravel 的加密服务提供了一个简单、便捷的接口,用于通过 OpenSSL 使用 AES-256 和 AES-128 加密来加密和解密文本。所有 Laravel 的加密值都使用消息认证码 (MAC) 进行签名,因此一旦加密,其底层值就不能被修改或篡改。
配置
在使用 Laravel 的加密器之前,你必须在 config/app.php 配置文件设置 key 配置选项。此配置值由 APP_KEY 环境变量驱动。你应该使用 php artisan key:generate 命令生成此变量的值,因为 key:generate 命令将使用 PHP 的安全随机字节生成器为你的应用程序构建一个加密安全的密钥。通常,在 Laravel 安装 期间会为你生成 APP_KEY 环境变量的值。
优雅地轮换加密密钥
如果更改应用程序的加密密钥,所有已认证的用户会话都将从应用程序注销。这是因为每个 cookie(包括会话 cookie)都由 Laravel 加密。此外,将无法再解密使用先前加密密钥加密的任何数据。
为了缓解此问题,Laravel 允许你在应用程序的 APP_PREVIOUS_KEYS 环境变量中列出你以前的加密密钥。此变量可以包含所有先前加密密钥的逗号分隔列表。
APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="设置此环境变量后,Laravel 将始终在加密值时使用“当前”加密密钥。但是,在解密值时,Laravel 将首先尝试使用当前密钥,如果使用当前密钥解密失败,Laravel 将尝试所有以前的密钥,直到其中一个密钥能够解密该值。
这种优雅解密的方法允许用户即使加密密钥发生轮换也能无中断地继续使用你的应用程序。
使用加密器
加密值
可以使用 Crypt 门面提供的 encryptString 方法加密值。所有加密值都使用 OpenSSL 和 AES-256-CBC 密码进行加密。此外,所有加密值都使用消息认证码 (MAC) 进行签名。集成的消息认证码将阻止解密任何被恶意用户篡改的值。
<?php namespace App\Http\Controllers; use Illuminate\Http\RedirectResponse;use Illuminate\Http\Request;use Illuminate\Support\Facades\Crypt; class DigitalOceanTokenController extends Controller{ /** * Store a DigitalOcean API token for the user. */ public function store(Request $request): RedirectResponse { $request->user()->fill([ 'token' => Crypt::encryptString($request->token), ])->save(); return redirect('/secrets'); }}解密值
可以使用 Crypt 门面提供的 decryptString 方法解密值。如果值无法正确解密,例如当消息认证码无效时,将抛出 Illuminate\Contracts\Encryption\DecryptException 异常。
use Illuminate\Contracts\Encryption\DecryptException;use Illuminate\Support\Facades\Crypt; try { $decrypted = Crypt::decryptString($encryptedValue);} catch (DecryptException $e) { // ...}