跳到主要內容

加密

📝 此頁面為 Laravel 官方文檔的繁體中文翻譯。查看原始英文版本

加密

簡介

Laravel 的加密服務提供了一個簡單、方便的介面,用於透過 OpenSSL 使用 AES-256 和 AES-128 加密來加密和解密文字。所有 Laravel 的加密值都使用訊息認證碼(MAC)簽署,以便在加密後無法修改或篡改其底層值。

設定

使用 Laravel 的加密器之前,您必須在 config/app.php 設定檔中設定 key 設定選項。此設定值由 APP_KEY 環境變數驅動。您應該使用 php artisan key:generate 命令來生成此變數的值,因為 key:generate 命令將使用 PHP 的安全隨機位元組生成器來為您的應用程式建構一個密碼學安全的金鑰。通常,APP_KEY 環境變數的值會在Laravel 安裝期間為您生成。

優雅地輪替加密金鑰

如果您變更了應用程式的加密金鑰,所有已認證的使用者 Session 都將被登出您的應用程式。這是因為所有 cookie(包括 Session cookie)都由 Laravel 加密。此外,將無法再解密使用先前加密金鑰加密的任何資料。

為了緩解此問題,Laravel 允許您在應用程式的 APP_PREVIOUS_KEYS 環境變數中列出先前的加密金鑰。此變數可以包含以逗號分隔的所有先前加密金鑰清單:

APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="

設定此環境變數後,Laravel 在加密值時始終會使用「當前」加密金鑰。但是,在解密值時,Laravel 會先嘗試使用當前金鑰,如果使用當前金鑰解密失敗,Laravel 將嘗試所有先前的金鑰,直到其中一個金鑰能夠解密該值。

這種優雅解密的方法使使用者即使在加密金鑰被輪替後也能繼續不中斷地使用您的應用程式。

使用加密器

加密值

您可以使用 Crypt facade 提供的 encryptString 方法來加密值。所有加密值都使用 OpenSSL 和 AES-256-CBC 演算法加密。此外,所有加密值都使用訊息認證碼(MAC)簽署。整合的訊息認證碼將防止解密被惡意使用者篡改的任何值:

<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Crypt;

class DigitalOceanTokenController extends Controller
{
    /**
     * Store a DigitalOcean API token for the user.
     */
    public function store(Request $request): RedirectResponse
    {
        $request->user()->fill([
            'token' => Crypt::encryptString($request->token),
        ])->save();

        return redirect('/secrets');
    }
}

解密值

您可以使用 Crypt facade 提供的 decryptString 方法來解密值。如果值無法正確解密(例如訊息認證碼無效),將拋出 Illuminate\Contracts\Encryption\DecryptException

use Illuminate\Contracts\Encryption\DecryptException;
use Illuminate\Support\Facades\Crypt;

try {
    $decrypted = Crypt::decryptString($encryptedValue);
} catch (DecryptException $e) {
    // ...
}