Laravel 的加密服務提供了一個簡單、方便的介面,通過 OpenSSL 使用 AES-256 和 AES-128 加密來加密和解密文本。所有 Laravel 的加密值都使用訊息驗證碼(MAC)簽名,因此一旦加密,它們的基礎值就無法被修改或篡改。
在使用 Laravel 的加密器之前,您必須在 config/app.php 組態檔中設置 key 組態選項。這個組態值由 APP_KEY 環境變數驅動。您應該使用 php artisan key:generate 命令來生成這個變數的值,因為 key:generate 命令將使用 PHP 的安全隨機位元組生成器來為您的應用程式建立一個具有密碼安全性的金鑰。通常,APP_KEY 環境變數的值將在 Laravel 的安裝 過程中為您生成。
如果您更改應用程式的加密金鑰,則所有已驗證的使用者會話將從您的應用程式中登出。這是因為 Laravel 加密了每個 cookie,包括會話 cookie。此外,將不再能夠解密使用先前加密金鑰加密的任何數據。
為了減輕這個問題,Laravel 允許您在應用程式的 APP_PREVIOUS_KEYS 環境變數中列出先前的加密金鑰。此變數可以包含所有先前加密金鑰的逗號分隔列表:
APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="當您設置此環境變數時,Laravel 將始終在加密值時使用“當前”加密金鑰。但是,在解密值時,Laravel 將首先嘗試使用當前金鑰,如果使用當前金鑰解密失敗,Laravel 將嘗試使用所有先前的金鑰,直到其中一個金鑰能夠解密該值。
這種優雅的解密方法讓使用者可以在您的加密金鑰輪換時繼續無間斷地使用應用程式。
您可以使用Crypt外觀提供的encryptString方法來加密值。所有加密值都是使用OpenSSL和AES-256-CBC加密。此外,所有加密值都會使用訊息驗證碼(MAC)進行簽名。整合的訊息驗證碼將防止惡意使用者篡改的任何值被解密:
<?php
namespace App\Http\Controllers;
use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Crypt;
class DigitalOceanTokenController extends Controller
{
/**
* 儲存使用者的DigitalOcean API金鑰。
*/
public function store(Request $request): RedirectResponse
{
$request->user()->fill([
'token' => Crypt::encryptString($request->token),
])->save();
return redirect('/secrets');
}
}您可以使用Crypt外觀提供的decryptString方法來解密值。如果無法正確解密值,例如當訊息驗證碼無效時,將拋出Illuminate\Contracts\Encryption\DecryptException:
use Illuminate\Contracts\Encryption\DecryptException;
use Illuminate\Support\Facades\Crypt;
try {
$decrypted = Crypt::decryptString($encryptedValue);
} catch (DecryptException $e) {
// ...
}