Laravel의 암호화 및 복호화 소개

巴扎黑
풀어 주다: 2023-03-16 11:32:02
원래의
1799명이 탐색했습니다.

이 글에서는 주로 라라벨의 암호화 및 복호화 구현 방법을 소개하고 있으며, 샘플 코드를 통해 아주 자세하게 소개하고 있습니다. 학습이나 업무에 필요한 분들은 아래 에디터를 따라오세요. 그리고 함께 배워요.

서문

Laravel의 암호화 메커니즘은 OpenSSL을 사용하여 AES-256 및 AES-128 암호화를 제공합니다. 이 글에서는 Laravel의 암호화 및 복호화 구현을 자세히 소개하고 참고 및 학습을 위해 공유합니다. 아래에 말씀드리자면, 그럼 자세한 소개를 살펴보겠습니다.

1. 사용방법

먼저 비밀키를 생성합니다. .env 디렉터리에 APP_KEY를 제공해야 합니다. 이를 사용할 수 없는 경우 php artisan key:generate 명령을 통해 생성하거나 직접 설정할 수 있습니다. 생성된 예제는 다음과 같습니다


APP_KEY=base64:5BM1BXGOBrGeeqJMAWJZSzyzh5yPcCGOcOGPtUij65g=
로그인 후 복사

암호화 키와 암호화 알고리즘을 config/app.php 디렉터리에 구성되어 있는 파일에서 구성하세요


$ 'key' => env('APP_KEY'),
 
  'cipher' => 'AES-256-CBC',
로그인 후 복사

사용 방법은 다음에서 사용되었습니다. laravel 방법에 대해서는 여기서 너무 자세히 설명하지 않겠습니다. 주로 사용되는 두 가지 방법은 암호화의 암호화와 복호화의 복호화입니다

2. 암호화 및 복호화 파일을 찾습니다

구현 방법의 위치는 Vendor/illuminate/encryption/ 두 파일에 있습니다. , 하나는 EncryptionServiceProvider이고 다른 하나는 Encrypter

3. EncryptionServiceProvider 파일을 분석합니다


 public function register()
 {
  $this->app->singleton('encrypter', function ($app) {
   $config = $app->make('config')->get('app'); //从config/app.php里拿到配置文件

   if (Str::startsWith($key = $config['key'], 'base64:')) { //分析配置文件里的key里面有没有带'base64'
    $key = base64_decode(substr($key, 7)); //如果有的话,把key前面的base64:给取消,并且解析出原来的字符串
   }

   return new Encrypter($key, $config['cipher']); //实例化Encrypte类,注入到框架里
  });
 }
로그인 후 복사

이 파일에는 많은 내용이 없지만 이를 통해 실제로 구성 파일에서 키를 직접 작성할 수도 있고, 앞에 base64 없이 구문 분석할 수도 있습니다. 몇 단계를 절약하는 것과 같습니다

또한 클래스를 인스턴스화할 때 키와 암호화 방법을 전달해야 합니다

4. 암호화 파일을 분석합니다

1.


 public function __construct($key, $cipher = 'AES-128-CBC')
 {
  $key = (string) $key; //把key转换为字符串

  if (static::supported($key, $cipher)) { //调用一个自定义的方法,用来判断加密方式和要求的key长度是否一样
   $this->key = $key;
   $this->cipher = $cipher;
  } else {
   throw new RuntimeException('The only supported ciphers are AES-128-CBC and AES-256-CBC with the correct key lengths.');
  }
 }
로그인 후 복사

위의 방법은 주로 암호화 방법과 전송된 키의 길이가 동일한지 확인하는 데 사용됩니다. 왜냐하면 서로 다른 암호화 방법에는 특히 각 암호화마다 해당 키의 길이가 필요하기 때문입니다. method 해당 문서를 찾으려면 키의 길이가 필요합니다


 public static function supported($key, $cipher)
 {
  $length = mb_strlen($key, '8bit'); //判断key的字符的长度,按照8bit位的方式计算字符长度

  return ($cipher === 'AES-128-CBC' && $length === 16) ||
    ($cipher === 'AES-256-CBC' && $length === 32); //编码格式为AES128的要求字符长度为16。编码格式为AES256的要求字符长度为32位
 }
로그인 후 복사

위 방법은 mb_strlen 방법을 사용하여 계산된 길이를 8비트 기준으로 계산해야 한다는 엄격한 점을 보여줍니다. 이것의 장점은 어떤 운영 체제를 사용하든 계산 길이가 동일하다는 것입니다.

다양한 운영 체제의 조건을 고려하면 암호화 문제가 발생하지 않습니다.

2. 암호화 방법 분석


 public function encrypt($value, $serialize = true)
 {
  $iv = random_bytes(16); //生成一个16位的随机字符串
  
  
  // 使用openssl_encrypt把数据生成一个加密的数据
  // 1、判断需要不需要生成一个可存储表示的值,这样做是为了不管你的数据是数组还是字符串都能给你转成一个字符串,不至于在判断你传过来的数据是数组还是字符串了。
  // 2、使用openssl_encrypt。第一个参数是传入数据,第二个参数是传入加密方式,目前使用AES-256-CBC的加密方式,第三个参数是,返回加密后的原始数据,还是把加密的数据在经过一次base64的编码,0的话表示base64位数据。第四个参数是项量,这个参数传入随机数,是为了在加密数据的时候每次的加密数据都不一样。
  $value = \openssl_encrypt(
   $serialize ? serialize($value) : $value,
   $this->cipher, $this->key, 0, $iv
  ); //使用AES256加密内容

  if ($value === false) {
   throw new EncryptException('Could not encrypt the data.');
  }

  $mac = $this->hash($iv = base64_encode($iv), $value); //生成一个签名,用来保证内容参数没有被更改

  $json = json_encode(compact('iv', 'value', 'mac')); //把随机码,加密内容,已经签名,组成数组,并转成json格式

  if (! is_string($json)) {
   throw new EncryptException('Could not encrypt the data.');
  }

  return base64_encode($json); //把json格式转换为base64位,用于传输
 }
로그인 후 복사

위에서는 사용자 정의 방법 hash()가 사용되었습니다.


 protected function hash($iv, $value)
 {
  // 生成签名
  // 1、把随机值转为base64
  // 2、使用hash_hmac生成sha256的加密值,用来验证参数是否更改。第一个参数表示加密方式,目前是使用sha256,第二个是用随机值连上加密过后的内容进行,第三个参数是上步使用的key。生成签名。
  return hash_hmac('sha256', $iv.$value, $this->key); /根据随机值和内容,生成一个sha256的签名
 }
로그인 후 복사

위의 암호화는 세 가지 주요 단계로 나뉩니다

1. 무작위 코드 생성

2. 암호화된 콘텐츠 생성

3. 서명 생성

프레임워크는 직렬화를 사용하는 우아한 방법을 사용합니다. 값 생성 이 방법의 장점은 얻는 내용이 배열인지 문자열인지에 관계없이 문자열로 변환할 수 있다는 것입니다. serialize를 사용하는 것과 json_encode를 사용하는 것의 차이점은 무엇인가요? 암호화하려는 콘텐츠가 상대적으로 클 경우 직렬화가 상대적으로 더 빠르다는 것이 가장 큰 장점이라고 생각합니다.

또 다른 점은 프레임워크가 암호화할 때 임의의 문자열을 사용한다는 것입니다. 임의의 문자열을 사용하는 이유는 무엇입니까? 임의의 문자열을 사용하기 때문에 다른 사람이 추측할 수 없도록 암호화된 내용이 매번 달라집니다.

3. 복호화 방법 분석

데이터 복호화는 데이터를 복호화해야 할 뿐만 아니라 데이터의 무결성을 보장해야 하며 데이터가 변조되지 않도록 해야 합니다

.

public function decrypt($payload, $unserialize = true)
 {
  $payload = $this->getJsonPayload($payload); //把加密后的字符串转换出成数组。

  $iv = base64_decode($payload['iv']); //把随机字符串进行base64解密出来

  $decrypted = \openssl_decrypt( //解密数据
   $payload['value'], $this->cipher, $this->key, 0, $iv
  );

  if ($decrypted === false) {
   throw new DecryptException('Could not decrypt the data.');
  }

  return $unserialize ? unserialize($decrypted) : $decrypted; //把数据转换为原始数据
 }
로그인 후 복사

getJsonPayload 방법


 protected function getJsonPayload($payload)
 {
  $payload = json_decode(base64_decode($payload), true); //把数据转换为原来的数组形式

  if (! $this->validPayload($payload)) { //验证是不是数组以及数组里有没有随机字符串,加密后的内容,签名
   throw new DecryptException('The payload is invalid.');
  }

  if (! $this->validMac($payload)) { //验证数据是否被篡改
   throw new DecryptException('The MAC is invalid.');
  }

  return $payload;
 }
로그인 후 복사

validPayload 방법은 비교적 간단하고 기본적이며 데이터가 변조되지 않았는지 확인하는 데 중점을 둡니다. 이것이 가장 중요한 것입니다


 protected function validMac(array $payload)
 {
  $calculated = $this->calculateMac($payload, $bytes = random_bytes(16)); //拿数据和随机值生成一个签名

  return hash_equals( //比对上一步生成的签名和下面生成的签名的hash是否一样。
   hash_hmac('sha256', $payload['mac'], $bytes, true), $calculated //根据原始数据里的签名在新生成一个签名
  );
 }
로그인 후 복사

calculateMac 방법입니다. 원본 데이터에 따라 계산하고 임의의 값으로 서명을 생성한 다음 이 서명을 사용하여 다시 서명을 생성하는 것입니다


 protected function calculateMac($payload, $bytes)
 {
  return hash_hmac(
   'sha256', $this->hash($payload['iv'], $payload['value']), $bytes, true
  );
 }
로그인 후 복사

위의 복호화는 크게 세 단계로 나누어집니다

1. 데이터 무결성

2. 데이터 Sex

의 일관성을 확인합니다. 3. 데이터 콘텐츠를 해독합니다.

이 인증 서명에는 뭔가 이상한 점이 있습니다. 일반적인 서명 인증과 다릅니다. 우리는 일반적으로 원본 데이터와 임의의 값을 이용하여 서명을 검증하여 서명을 생성한 후, 생성된 서명을 원본 데이터의 서명과 비교하여 변조 여부를 판단합니다.

하지만 그가 사용하는 프레임워크가 하나 더 있는데, 원본 데이터와 임의의 값을 통해 서명을 생성한 다음 이 서명을 사용하여 서명을 생성하는 것입니다. 비교도 원본 데이터의 서명을 사용하여 서명을 생성하는 것입니다. 을 클릭한 다음 비교합니다. 왜 몇 단계를 더 거쳐야 하는지 알 수 없습니다.

암호화 중에 우리는 직렬화를 사용하여 원본 데이터를 변환했으므로 그에 따라 데이터를 다시 변환하려면 unserialize도 사용해야 합니다.

참고

  • 암호화에 사용된 openssl_encrypt의 임의 항목 값은 사용된 원본 데이터 원시의 바이너리 값이고, openssl_decrypt를 사용하여 복호화된 값은 base64비트 문자열 뒤에 사용된 임의의 문자입니다.

  • 복호화 시 비교용 서명을 생성할 때 원본 서명을 사용한 후 비교용 원본 데이터의 내용을 기반으로 서명을 다시 생성하는 대신 원본 서명을 기반으로 서명을 생성한 후 원본 데이터를 다음과 같이 사용합니다. 서명을 기반으로 생성된 서명은 새로 생성된 서명을 사용하여 다시 생성됩니다. 그런 다음 비교하십시오.

  • AES256은 암호화된 데이터이며, 해당 데이터는 나중에 역으로 복호화될 수 있습니다. SHA256은 서명을 생성하며 이 프로세스는 되돌릴 수 없으며 데이터의 무결성을 확인하는 데 사용됩니다.

위 내용은 Laravel의 암호화 및 복호화 소개의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿