加密
Laravel 的加密服務提供了一個簡單、方便的介面,用於透過 OpenSSL 使用 AES-256 和 AES-128 加密來加密和解密文字。所有 Laravel 加密的值都使用訊息驗證碼 (MAC) 進行簽署,因此一旦加密,其底層值就無法被修改或竄改。
設定 (Configuration)
優雅地輪換加密金鑰
如果您變更應用程式的加密金鑰,所有已驗證的使用者 sessions 都將被登出您的應用程式。這是因為每個 cookie,包括 session cookies,都由 Laravel 加密。此外,將不再可能解密使用您先前加密金鑰加密的任何資料。
為了緩解此問題,Laravel 允許您在應用程式的 APP_PREVIOUS_KEYS環境變數中列出您先前的加密金鑰。此變數可以包含以逗號分隔的所有先前加密金鑰的列表:
APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="
當您設定此環境變數時,Laravel 在加密值時將始終使用「目前」的加密金鑰。但是,在解密值時,Laravel 會先嘗試目前的金鑰,如果使用目前的金鑰解密失敗,Laravel 將嘗試所有先前的金鑰,直到其中一個金鑰能夠解密該值。
這種優雅解密的方法允許使用者即使在加密金鑰輪換後也能不間斷地繼續使用您的應用程式。
使用加密器 (Using The Encrypter)
加密值 (Encrypting A Value)
您可以使用 Crypt facade 提供的 encryptString方法來加密值。所有加密的值都使用 OpenSSL 和 AES-256-CBC 密碼進行加密。此外,所有加密的值都使用訊息驗證碼 (MAC) 進行簽署。整合的訊息驗證碼將防止解密任何被惡意使用者竄改的值:
<?php
namespace App\Http\Controllers;
use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Crypt;
class DigitalOceanTokenController extends Controller
{
/**
* Store a DigitalOcean API token for the user.
*/
public function store(Request $request): RedirectResponse
{
$request->user()->fill([
'token' => Crypt::encryptString($request->token),
])->save();
return redirect('/secrets');
}
}解密值 (Decrypting A Value)
您可以使用 Crypt facade 提供的 decryptString方法來解密值。如果值無法正確解密,例如當訊息驗證碼無效時,將拋出 Illuminate\Contracts\Encryption\DecryptException:
use Illuminate\Contracts\Encryption\DecryptException;
use Illuminate\Support\Facades\Crypt;
try {
$decrypted = Crypt::decryptString($encryptedValue);
} catch (DecryptException $e) {
// ...
}