Appearance
加密
介绍
Laravel 的加密服务提供了一个简单、方便的界面,用于使用 AES-256 和 AES-128 加密通过 OpenSSL 加密和解密文本。Laravel 的所有加密值都使用消息身份验证码 (MAC) 进行签名,因此其底层值在加密后无法被修改或篡改。
配置
在使用 Laravel 的加密器之前,您必须在 config/app.php
配置文件中设置 key
配置选项。此配置值由 APP_KEY
环境变量驱动。您应该使用 php artisan key:generate
命令来生成此变量的值,因为 key:generate
命令将使用 PHP 的安全随机字节生成器为您的应用程序构建加密安全的密钥。通常,APP_KEY
环境变量的值将在 Laravel 的安装过程中为你生成。
正常轮换加密密钥
如果您更改应用程序的加密密钥,则所有经过身份验证的用户会话都将从您的应用程序中注销。这是因为每个 cookie,包括会话 cookie,都由 Laravel 加密。此外,将无法再解密使用以前的加密密钥加密的任何数据。
为了缓解此问题,Laravel 允许您在应用程序的 APP_PREVIOUS_KEYS
环境变量中列出以前的加密密钥。此变量可能包含您之前的所有加密密钥的逗号分隔列表:
ini
APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="
当您设置此环境变量时,Laravel 在加密值时将始终使用 “current” 加密密钥。但是,在解密值时,Laravel 将首先尝试当前密钥,如果使用当前密钥解密失败,Laravel 将尝试所有以前的密钥,直到其中一个密钥能够解密该值。
这种正常解密方法允许用户不间断地使用您的应用程序,即使您的加密密钥被轮换也是如此。
使用加密程序
加密值
您可以使用 Crypt
facade 提供的 encryptString
方法加密值。所有加密的值都使用 OpenSSL 和 AES-256-CBC 密码进行加密。此外,所有加密的值都使用消息身份验证码 (MAC) 进行签名。集成消息身份验证代码将阻止解密已被恶意用户篡改的任何值:
<?php
namespace App\Http\Controllers;
use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Crypt;
class DigitalOceanTokenController extends Controller
{
/**
* 为用户存储 DigitalOcean API 令牌
*/
public function store(Request $request): RedirectResponse
{
$request->user()->fill([
'token' => Crypt::encryptString($request->token),
])->save();
return redirect('/secrets');
}
}
解密值
您可以使用 Crypt
Facade提供的 decryptString
方法解密值。如果该值无法正确解密,例如当消息鉴权码无效时,将抛出一个 Illuminate\Contracts\Encryption\DecryptException
:
use Illuminate\Contracts\Encryption\DecryptException;
use Illuminate\Support\Facades\Crypt;
try {
$decrypted = Crypt::decryptString($encryptedValue);
} catch (DecryptException $e) {
// ...
}