跳到内容

加密

简介

Laravel 的加密服务提供了一个简单方便的接口,用于通过 OpenSSL 使用 AES-256 和 AES-128 加密来加密和解密文本。Laravel 的所有加密值都使用消息认证码 (MAC) 进行签名,以便其底层值在加密后无法被修改或篡改。

配置

在使用 Laravel 的加密器之前,您必须在 config/app.php 配置文件中设置 key 配置选项。此配置值由 APP_KEY 环境变量驱动。您应该使用 php artisan key:generate 命令来生成此变量的值,因为 key:generate 命令将使用 PHP 的安全随机字节生成器来为您的应用程序构建密码学上安全的密钥。通常,APP_KEY 环境变量的值将在 Laravel 的安装 过程中为您生成。

优雅地轮换加密密钥

如果您更改应用程序的加密密钥,所有经过身份验证的用户会话都将从您的应用程序中注销。这是因为每个 Cookie,包括会话 Cookie,都由 Laravel 加密。此外,使用之前的加密密钥加密的任何数据将不再可能解密。

为了缓解这个问题,Laravel 允许您在应用程序的 APP_PREVIOUS_KEYS 环境变量中列出您之前的加密密钥。此变量可能包含以逗号分隔的所有先前加密密钥的列表

1APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
2APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="

当您设置此环境变量时,Laravel 将始终在加密值时使用“当前”加密密钥。但是,在解密值时,Laravel 将首先尝试当前密钥,如果使用当前密钥解密失败,Laravel 将尝试所有先前的密钥,直到其中一个密钥能够解密该值。

即使您的加密密钥被轮换,这种优雅解密的方法也允许用户不间断地继续使用您的应用程序。

使用 Encrypter

加密值

您可以使用 Crypt facade 提供的 encryptString 方法加密值。所有加密的值都使用 OpenSSL 和 AES-256-CBC 密码进行加密。此外,所有加密的值都使用消息认证码 (MAC) 进行签名。集成的消息认证码将防止解密任何被恶意用户篡改的值

1<?php
2 
3namespace App\Http\Controllers;
4 
5use Illuminate\Http\RedirectResponse;
6use Illuminate\Http\Request;
7use Illuminate\Support\Facades\Crypt;
8 
9class DigitalOceanTokenController extends Controller
10{
11 /**
12 * Store a DigitalOcean API token for the user.
13 */
14 public function store(Request $request): RedirectResponse
15 {
16 $request->user()->fill([
17 'token' => Crypt::encryptString($request->token),
18 ])->save();
19 
20 return redirect('/secrets');
21 }
22}

解密值

您可以使用 Crypt facade 提供的 decryptString 方法解密值。如果值无法正确解密,例如当消息认证码无效时,将抛出 Illuminate\Contracts\Encryption\DecryptException 异常

1use Illuminate\Contracts\Encryption\DecryptException;
2use Illuminate\Support\Facades\Crypt;
3 
4try {
5 $decrypted = Crypt::decryptString($encryptedValue);
6} catch (DecryptException $e) {
7 // ...
8}

Laravel 是构建最有效率的方式,用于
构建、部署和监控软件。