介绍
Laravel 的加密服务提供了一个简单、方便的接口,使用 OpenSSL 所提供的 AES-256 和 AES-128 加密和解密文本。所有 Laravel 加密的结果都会使用消息认证码 (MAC) 进行签名,因此一旦加密,其底层值就不能被修改或篡改。
配置
在使用 Laravel 的加密器之前,你必须在 php config/app.php 配置文件中设置 php key 配置选项。这个配置值由 php APP_KEY 环境变量驱动。你应该使用 php php artisan key:generate 命令来生成这个变量的值,因为 php key:generate 命令将使用 PHP 的安全随机字节生成器为你的应用程序构建一个密码学上安全的密钥。通常,php APP_KEY 环境变量的值会在Laravel 安装过程中为你生成。
优雅地轮换加密密钥
如果你更改了应用程序的加密密钥,所有已认证的用户会话将被登出你的应用程序。这是因为包括会话 cookie 在内的所有 cookie 都由 Laravel 加密。此外,将无法再解密使用以前的加密密钥加密的任何数据。
为了缓解这个问题,Laravel 允许你在应用程序的 php APP_PREVIOUS_KEYS 环境变量中列出你之前的加密密钥。这个变量可以包含一个逗号分隔的你所有之前加密密钥的列表。
APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="
当你设置这个环境变量时,Laravel 在加密值时将始终使用 「当前」 的加密密钥。然而,在解密值时,Laravel 首先会尝试当前密钥,如果使用当前密钥解密失败,Laravel 将尝试所有之前的密钥,直到其中一个密钥能够解密该值。
这种优雅解密的方法允许用户即使在加密密钥轮换后也能继续不间断地使用你的应用程序。
基本用法
加密一个值
你可以使用 php Crypt 门面提供的 php encryptString 方法来加密一个值。所有加密的值都是使用 OpenSSL 和 AES-256-CBC 加密算法加密的。此外,所有加密的值都会使用消息认证码(MAC)进行签名。集成的消息身份验证码将阻止被恶意用户篡改的任何值的解密:
<?phpnamespace App\Http\Controllers;use Illuminate\Http\RedirectResponse;use Illuminate\Http\Request;use Illuminate\Support\Facades\Crypt;class DigitalOceanTokenController extends Controller{/*** 为用户存储一个 DigitalOcean API 令牌。*/public function store(Request $request): RedirectResponse{$request->user()->fill(['token' => Crypt::encryptString($request->token),])->save();return redirect('/secrets');}}
解密一个值
你可以使用 php Crypt 门面提供的 php decryptString 方法来解密值。如果值无法正确解密,例如当消息认证码无效时,将会抛出一个php Illuminate\Contracts\Encryption\DecryptException异常。
use Illuminate\Contracts\Encryption\DecryptException;use Illuminate\Support\Facades\Crypt;try {$decrypted = Crypt::decryptString($encryptedValue);} catch (DecryptException $e) {// ...}