Laravel의 암호화 및 복호화 구현 방법 공유 예-PHP 튜토리얼-php.cn

이 글에서는 주로 라라벨의 암호화 및 복호화 구현 방법을 소개하고 있으며, 샘플 코드를 통해 아주 자세하게 소개하고 있습니다. 학습이나 업무에 필요한 모든 분들이 참고하실 수 있을 것입니다. 그리고 공부하세요.

머리말

Laravel의 암호화 메커니즘은 OpenSSL을 사용하여 AES-256 및 AES-128 암호화를 제공합니다. 이 글에서는 Laravel의 암호화 및 복호화 구현을 자세히 소개하고 참고 및 학습을 위해 공유하겠습니다. 자세한 소개는 아래에서 살펴보겠습니다.

1. 사용방법

먼저 비밀키를 생성합니다. .env 디렉토리에 APP_KEY를 제공해야 합니다. 이를 사용할 수 없는 경우 php artisan key:generate 명령을 통해 생성하거나 직접 설정할 수 있습니다. 생성된 예제는 다음과 같습니다

APP_KEY=base64:5BM1BXGOBrGeeqJMAWJZSzyzh5yPcCGOcOGPtUij65g=

로그인 후 복사

파일에 암호화 키와 암호화 알고리즘을 구성하세요. config/app.php 디렉터리에 구성이 있습니다

$ 'key' => env('APP_KEY'),
 
  'cipher' => 'AES-256-CBC',

로그인 후 복사

사용 방법이 이미 나와 있습니다. laravel, 그래서 여기에 말할 것이 너무 많습니다. 주로 사용되는 두 가지 방법은 암호화에 의한 암호화와 복호화에 의한 복호화입니다

2. 암호화 및 복호화를 위한 파일 찾기

구현 방법의 위치는 Vendor/illuminate/encryption/ 디렉터리에서 두 개의 파일을 찾는 것입니다. EncryptionServiceProvider이고 다른 하나는 Encrypter입니다

3. EncryptionServiceProvider 파일을 분석하세요

 public function register()
 {
  $this->app->singleton('encrypter', function ($app) {
   $config = $app->make('config')->get('app'); //从config/app.php里拿到配置文件

   if (Str::startsWith($key = $config['key'], 'base64:')) { //分析配置文件里的key里面有没有带'base64'
    $key = base64_decode(substr($key, 7)); //如果有的话，把key前面的base64:给取消，并且解析出原来的字符串
   }

   return new Encrypter($key, $config['cipher']); //实例化Encrypte类，注入到框架里
  });
 }

로그인 후 복사

이 파일에는 많은 내용이 없지만 실제로 구성 파일에서 키를 직접 작성할 수 있다는 것을 알 수 있습니다. 앞에 base64가 없어도 동일합니다. 몇 단계를 절약하는 것과 같습니다

또한 클래스를 인스턴스화할 때 키와 암호화 방법을 전달해야 합니다

4. Encrypter 파일을 분석합니다

1. 인스턴스화하기 전에 위의 내용을 분석하고 실행합니다

 public function __construct($key, $cipher = 'AES-128-CBC')
 {
  $key = (string) $key; //把key转换为字符串

  if (static::supported($key, $cipher)) { //调用一个自定义的方法，用来判断加密方式和要求的key长度是否一样
   $this->key = $key;
   $this->cipher = $cipher;
  } else {
   throw new RuntimeException('The only supported ciphers are AES-128-CBC and AES-256-CBC with the correct key lengths.');
  }
 }

로그인 후 복사

이 방법은 암호화 방법마다 해당 키의 길이가 필요하기 때문에 암호화 방법과 전송된 키의 길이가 동일한지 여부를 확인하는 데 주로 사용됩니다. 특히 각 암호화 방법에 필요한 키의 길이가 다를 수 있습니다.

 public static function supported($key, $cipher)
 {
  $length = mb_strlen($key, '8bit'); //判断key的字符的长度，按照8bit位的方式计算字符长度

  return ($cipher === 'AES-128-CBC' && $length === 16) ||
    ($cipher === 'AES-256-CBC' && $length === 32); //编码格式为AES128的要求字符长度为16。编码格式为AES256的要求字符长度为32位
 }

로그인 후 복사

위 방법은 mb_strlen 방법을 사용하고 계산 길이를 8비트 기준으로 계산해야 한다는 엄격한 점을 보여줍니다. 이것의 장점은 어떤 운영 체제를 사용하든 계산 길이가 동일하다는 것입니다.

다양한 운영 체제의 조건을 고려하면 암호화 문제가 발생하지 않습니다.

2. 암호화 방법 분석

 public function encrypt($value, $serialize = true)
 {
  $iv = random_bytes(16); //生成一个16位的随机字符串
  
  
  // 使用openssl_encrypt把数据生成一个加密的数据
  // 1、判断需要不需要生成一个可存储表示的值，这样做是为了不管你的数据是数组还是字符串都能给你转成一个字符串，不至于在判断你传过来的数据是数组还是字符串了。
  // 2、使用openssl_encrypt。第一个参数是传入数据，第二个参数是传入加密方式，目前使用AES-256-CBC的加密方式，第三个参数是，返回加密后的原始数据，还是把加密的数据在经过一次base64的编码，0的话表示base64位数据。第四个参数是项量，这个参数传入随机数，是为了在加密数据的时候每次的加密数据都不一样。
  $value = \openssl_encrypt(
   $serialize ? serialize($value) : $value,
   $this->cipher, $this->key, 0, $iv
  ); //使用AES256加密内容

  if ($value === false) {
   throw new EncryptException('Could not encrypt the data.');
  }

  $mac = $this->hash($iv = base64_encode($iv), $value); //生成一个签名，用来保证内容参数没有被更改

  $json = json_encode(compact('iv', 'value', 'mac')); //把随机码，加密内容，已经签名，组成数组，并转成json格式

  if (! is_string($json)) {
   throw new EncryptException('Could not encrypt the data.');
  }

  return base64_encode($json); //把json格式转换为base64位，用于传输
 }

로그인 후 복사

위에서 사용자 정의 방법 hash()가 사용되었습니다.

 protected function hash($iv, $value)
 {
  // 生成签名
  // 1、把随机值转为base64
  // 2、使用hash_hmac生成sha256的加密值，用来验证参数是否更改。第一个参数表示加密方式，目前是使用sha256，第二个是用随机值连上加密过后的内容进行，第三个参数是上步使用的key。生成签名。
  return hash_hmac('sha256', $iv.$value, $this->key); /根据随机值和内容，生成一个sha256的签名
 }

로그인 후 복사

위의 암호화는 세 가지 주요 단계로 나뉩니다

1. 임의 코드 생성

2. 암호화된 콘텐츠 생성 3. 서명 생성

프레임워크는 직렬화를 사용하여 값을 생성하는 우아한 방법을 사용합니다. 이 방법의 장점은 콘텐츠가 배열인지 문자열인지에 관계없이 문자열로 변환할 수 있다는 것입니다. serialize를 사용하는 것과 json_encode를 사용하는 것의 차이점은 무엇인가요? 암호화하려는 콘텐츠가 상대적으로 클 경우 직렬화가 상대적으로 더 빠르다는 것이 가장 큰 장점이라고 생각합니다.

또 다른 점은 프레임워크가 암호화할 때 임의의 문자열을 사용한다는 것입니다. 임의의 문자열을 사용하는 이유는 무엇입니까? 임의의 문자열을 사용하기 때문에 다른 사람이 추측할 수 없도록 암호화된 내용이 매번 달라집니다.

3. 복호화 방법 분석

데이터 복호화는 가장 복잡한 부분이라고 할 수 있습니다. 데이터를 복호화해야 할 뿐만 아니라 데이터의 무결성도 보장되어야 하며, 데이터는 변조 방지되어야 합니다

rree

getJsonPayload 방법

public function decrypt($payload, $unserialize = true)
 {
  $payload = $this->getJsonPayload($payload); //把加密后的字符串转换出成数组。

  $iv = base64_decode($payload['iv']); //把随机字符串进行base64解密出来

  $decrypted = \openssl_decrypt( //解密数据
   $payload['value'], $this->cipher, $this->key, 0, $iv
  );

  if ($decrypted === false) {
   throw new DecryptException('Could not decrypt the data.');
  }

  return $unserialize ? unserialize($decrypted) : $decrypted; //把数据转换为原始数据
 }

로그인 후 복사

validPayload 방법은 자세히 설명하지 않겠습니다. 비교적 간단하고 기본적인 내용이므로 데이터가 변조되지 않았는지 확인하는 데 중점을 둡니다. 이것이 가장 중요한 것입니다.

 protected function getJsonPayload($payload)
 {
  $payload = json_decode(base64_decode($payload), true); //把数据转换为原来的数组形式

  if (! $this->validPayload($payload)) { //验证是不是数组以及数组里有没有随机字符串，加密后的内容，签名
   throw new DecryptException('The payload is invalid.');
  }

  if (! $this->validMac($payload)) { //验证数据是否被篡改
   throw new DecryptException('The MAC is invalid.');
  }

  return $payload;
 }

로그인 후 복사

calculateMac 방법입니다. 원본 데이터와 임의의 값을 기반으로 서명을 생성한 다음 이를 사용합니다. 서명은 다시 서명을 생성합니다

 protected function validMac(array $payload)
 {
  $calculated = $this->calculateMac($payload, $bytes = random_bytes(16)); //拿数据和随机值生成一个签名

  return hash_equals( //比对上一步生成的签名和下面生成的签名的hash是否一样。
   hash_hmac('sha256', $payload['mac'], $bytes, true), $calculated //根据原始数据里的签名在新生成一个签名
  );
 }

로그인 후 복사

위의 복호화는 크게 세 단계로 나누어집니다

1. 데이터의 무결성을 확인합니다

2. 데이터의 일관성 확인

3. 데이터 콘텐츠의 암호를 해독합니다.

이 인증 서명에는 뭔가 이상한 점이 있습니다. 일반적인 서명 인증과 다릅니다. 우리는 일반적으로 원본 데이터와 임의의 값을 이용하여 서명을 검증하여 서명을 생성한 후, 생성된 서명을 원본 데이터의 서명과 비교하여 변조 여부를 판단합니다.

하지만 그가 사용하는 프레임워크가 하나 더 있는데, 원본 데이터와 임의의 값을 통해 서명을 생성한 다음 이 서명을 사용하여 서명을 생성하고 비교도 원본 데이터의 서명을 사용하여 수행하는 것입니다. 서명을 생성한 후 비교하세요. 왜 몇 단계를 더 거쳐야 하는지 알 수 없습니다.

암호화 중에 우리는 직렬화를 사용하여 원본 데이터를 변환했으므로 그에 따라 데이터를 다시 변환하려면 unserialize도 사용해야 합니다.

Note

암호화에 사용된 openssl_encrypt의 임의 항목 값은 사용된 원본 데이터 raw의 바이너리 값이고, openssl_decrypt를 사용하여 복호화된 값은 base64비트 이후에 사용되는 임의의 문자열입니다.

복호화 시 비교용 서명을 생성할 때 원본 서명을 사용한 후 비교용 원본 데이터의 내용을 바탕으로 서명을 다시 생성하는 대신 원본 서명을 기반으로 서명을 생성한 후, 생성된 서명은 원본 데이터를 기반으로 새로 생성된 서명을 사용하여 다시 생성됩니다. 그런 다음 비교하십시오.
AES256은 암호화된 데이터이므로 나중에 역으로 해독할 수 있습니다. SHA256은 서명을 생성하며 이 프로세스는 되돌릴 수 없으며 데이터의 무결성을 확인하는 데 사용됩니다.