加密

引言

Laravel 的加密服务提供了一个简单、方便的接口，通过 OpenSSL 使用 AES-256 和 AES-128 进行文本加密与解密。所有 Laravel 的加密值都使用消息认证码（MAC）进行签名，以确保加密后的内容不会被修改或篡改。

配置

在使用 Laravel 的加密器之前，你必须在 config/app.php 配置文件中设置 key 配置选项。该配置值由 APP_KEY 环境变量驱动。你应当使用 php artisan key:generate 命令来生成这个变量的值，因为 key:generate 命令会使用 PHP 的安全随机字节生成器，为你的应用生成一个密码学上安全的密钥。通常情况下，APP_KEY 环境变量的值会在 Laravel 安装过程中自动为你生成。

优雅地轮换加密密钥

如果你更改了应用的加密密钥，所有已认证的用户会话将会被强制登出。这是因为 Laravel 会对包括会话 Cookie 在内的所有 Cookie 进行加密。此外，之前使用旧加密密钥加密的数据将无法再被解密。

为了解决这个问题，Laravel 允许你在应用的 APP_PREVIOUS_KEYS 环境变量中列出之前使用过的加密密钥。该变量可以包含以逗号分隔的所有旧加密密钥列表：

APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="

设置此环境变量后，Laravel 在加密值时始终使用 “当前” 密钥。但在解密值时，Laravel 会先尝试使用当前密钥解密，如果解密失败，则会依次尝试所有旧密钥，直到其中一个能够成功解密为止。

这种优雅的解密方式可以保证即使加密密钥被轮换，用户仍能无缝使用你的应用。

使用加密器

加密一个值

你可以使用 Crypt 门面提供的 encryptString 方法来加密一个值。所有加密值都使用 OpenSSL 及 AES-256-CBC 加密算法进行加密。此外，所有加密值都会附带消息认证码（MAC）进行签名。这种集成的消息认证码可以防止恶意用户篡改数据后解密成功：

<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Crypt;

class DigitalOceanTokenController extends Controller
{
    /**
     * 为用户存储 DigitalOcean API 令牌。
     */
    public function store(Request $request): RedirectResponse
    {
        $request->user()->fill([
            'token' => Crypt::encryptString($request->token),
        ])->save();

        return redirect('/secrets');
    }
}

解密一个值

你可以使用 Crypt 门面提供的 decryptString 方法来解密值。如果值无法正确解密，例如消息认证码无效，将抛出 Illuminate\Contracts\Encryption\DecryptException 异常：

use Illuminate\Contracts\Encryption\DecryptException;
use Illuminate\Support\Facades\Crypt;

try {
    $decrypted = Crypt::decryptString($encryptedValue);
} catch (DecryptException $e) {
    // 处理解密失败的情况...
}