简介

Laravel 的加密服务通过使用 OpenSSL 以及 AES - 256 和 AES - 128 加密技术，为加密和解密文本提供了一个简单、便捷的接口。Laravel 所有的加密值都使用消息认证码（MAC）进行签名，以确保其底层值在加密后无法被修改或篡改。

配置

在使用 Laravel 的加密器之前，您必须在 config/app.php 配置文件中设置 key 配置选项。此配置值由 APP_KEY 环境变量驱动。您应该使用 php artisan key:generate 命令来生成此变量的值，因为 key:generate 命令将使用 PHP 的安全随机字节生成器为您的应用程序构建一个加密安全的密钥。通常，在 Laravel 的安装 过程中，会为您生成 APP_KEY 环境变量的值。

优雅地轮换加密密钥

如果您更改了应用程序的加密密钥，所有已认证的用户会话将从您的应用程序中登出。这是因为每个 Cookie，包括会话 Cookie，都是由 Laravel 进行加密的。此外，使用您之前的加密密钥加密的任何数据将不再能够被解密。

为了缓解此问题，Laravel 允许您在应用程序的 APP_PREVIOUS_KEYS 环境变量中列出您之前的加密密钥。此变量可以包含一个以逗号分隔的您所有之前的加密密钥列表：

APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="

当您设置此环境变量时，Laravel 在加密值时将始终使用“当前”加密密钥。然而，在解密值时，Laravel 将首先尝试使用当前密钥，如果使用当前密钥解密失败，Laravel 将尝试所有之前的密钥，直到其中一个密钥能够解密该值。

这种优雅的解密方法允许用户在您的加密密钥轮换时仍能不间断地使用您的应用程序。

使用加密器

加密一个值

您可以使用 Crypt 外观提供的 encryptString 方法来加密一个值。所有加密的值都使用 OpenSSL 和 AES - 256 - CBC 加密算法进行加密。此外，所有加密的值都使用消息认证码（MAC）进行签名。集成的消息认证码将防止恶意用户篡改的任何值被解密：

<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Crypt;

class DigitalOceanTokenController extends Controller
{
    /**
     * 为用户存储一个 DigitalOcean API 令牌。
     */
    public function store(Request $request): RedirectResponse
    {
        $request->user()->fill([
            'token' => Crypt::encryptString($request->token),
        ])->save();

        return redirect('/secrets');
    }
}

解密一个值

您可以使用 Crypt 外观提供的 decryptString 方法来解密值。如果值无法正确解密，例如当消息认证码无效时，将抛出 Illuminate\Contracts\Encryption\DecryptException 异常：

use Illuminate\Contracts\Encryption\DecryptException;
use Illuminate\Support\Facades\Crypt;

try {
    $decrypted = Crypt::decryptString($encryptedValue);
} catch (DecryptException $e) {
    //...
}