来自 laravel docs
应用程序密钥 安装 Laravel 后,您应该做的下一件事是将应用程序密钥设置为随机字符串。如果您通过 Composer 或 Laravel 安装程序安装了 Laravel,则 php artisan key:generate 命令已经为您设置了此密钥。
通常,此字符串的长度应为 32 个字符。可以在 .env 环境文件中设置该密钥。如果尚未将 .env.example 文件重命名为 .env,则应立即执行此操作。如果未设置应用程序密钥,则您的用户会话和其他加密数据将不安全!
我对应用程序密钥的了解是:如果未设置应用程序密钥,通常我确实会收到异常。
正如我们所看到的,它在CrypticationServiceProvider中使用:
public function register()
{
$this->app->singleton('encrypter', function ($app) {
$config = $app->make('config')->get('app');
// If the key starts with "base64:", we will need to decode the key before handing
// it off to the encrypter. Keys may be base-64 encoded for presentation and we
// want to make sure to convert them back to the raw bytes before encrypting.
if (Str::startsWith($key = $this->key($config), 'base64:')) {
$key = base64_decode(substr($key, 7));
}
return new Encrypter($key, $config['cipher']);
});
}
因此,每个使用加密的组件:会话,加密(用户范围),csrf令牌都受益于.app_key
其余的问题可以通过“加密”(AES)的工作原理来回答,只需打开Crypticer.php,并确认Laravel在引擎盖下使用AES并将结果编码为base64。
此外,我们还可以通过使用tinker来了解它是如何完成的:
➜ laravel git:(staging) ✗ art tinker
Psy Shell v0.8.17 (PHP 7.1.14 — cli) by Justin Hileman
>>> encrypt('Hello World!')
=> "eyJpdiI6ImgzK08zSDQyMUE1T1NMVThERjQzdEE9PSIsInZhbHVlIjoiYzlZTk1td0JJZGtrS2luMlo0QzdGcVpKdTEzTWsxeFB6ME5pT1NmaGlQaz0iLCJtYWMiOiI3YTAzY2IxZjBiM2IyNDZiYzljZGJjNTczYzA3MGRjN2U3ZmFkMTVmMWRhMjcwMTRlODk5YTg5ZmM2YjBjMGNlIn0="
注意:我用了这个密钥:加密
base64:Qc25VgXJ8CEkp790nqF+eEocRk1o7Yp0lM1jWPUuocQ=Hello World!
解码后,我们得到的结果(您可以尝试使用会话解码您自己的cookie):
{"iv":"h3+O3H421A5OSLU8DF43tA==","value":"c9YNMmwBIdkkKin2Z4C7FqZJu13Mk1xPz0NiOSfhiPk=","mac":"7a03cb1f0b3b246bc9cdbc573c070dc7e7fad15f1da27014e899a89fc6b0c0ce"}
要理解上面的json(,,),你需要理解AES:ivvaluemac
.envapp.php明显注意:更改应用程序密钥对散列密码没有影响,因为散列算法不需要加密密钥。
