来自 Laravel 文档
应用密钥 安装完 Laravel 后,你需要做的下一件事情就是将你的应用密钥设置为一个随机字符串。如果你是通过 Composer 或 Laravel 安装器安装 Laravel 的,那么这个密钥已经通过 php artisan key:generate 命令为你设置好了。
通常,这个字符串应该是 32 个字符长。应用密钥可以在 .env 环境文件中设置。如果你还没有将 .env.example 文件重命名为 .env,则现在应该这样做。如果应用密钥未设置,你的用户会话和其它加密数据将不会安全!
我知道关于应用密钥的是:如果应用密钥未设置,通常会出现异常。
它被用于 EncryptionServiceProvider 中:
public function register()
{
$this->app->singleton('encrypter', function ($app) {
$config = $app->make('config')->get('app');
// If the key starts with "base64:", we will need to decode the key before handing
// it off to the encrypter. Keys may be base-64 encoded for presentation and we
// want to make sure to convert them back to the raw bytes before encrypting.
if (Str::startsWith($key = $this->key($config), 'base64:')) {
$key = base64_decode(substr($key, 7));
}
return new Encrypter($key, $config['cipher']);
});
}
因此,每个使用加密的组件:会话、加密(用户范围)、CSRF 令牌都可以从app_key中受益。
其余的问题可以通过了解加密方式(AES)的工作原理来回答,打开Encrypter.php文件,并确认Laravel在内部使用AES,并且该实现将结果编码为base64。
以下是使用tinker的示例:
➜ artisan tinker
Psy Shell v0.8.17 (PHP 7.1.14 — cli) by Justin Hileman
>>> encrypt('Hello World!')
=> "eyJpdiI6ImgzK08zSDQyMUE1T1NMVThERjQzdEE9PSIsInZhbHVlIjoiYzlZTk1td0JJZGtrS2luMlo0QzdGcVpKdTEzTWsxeFB6ME5pT1NmaGlQaz0iLCJtYWMiOiI3YTAzY2IxZjBiM2IyNDZiYzljZGJjNTczYzA3MGRjN2U3ZmFkMTVmMWRhMjcwMTRlODk5YTg5ZmM2YjBjMGNlIn0="
注意:我使用了这个密钥:
base64:Qc25VgXJ8CEkp790nqF+eEocRk1o7Yp0lM1jWPUuocQ=来加密Hello World!
解码后我们得到的结果是(你也可以尝试解码自己的会话 cookie):
{"iv":"h3+O3H421A5OSLU8DF43tA==","value":"c9YNMmwBIdkkKin2Z4C7FqZJu13Mk1xPz0NiOSfhiPk=","mac":"7a03cb1f0b3b246bc9cdbc573c070dc7e7fad15f1da27014e899a89fc6b0c0ce"}
要理解上述JSON(iv,value,mac),您需要了解AES:
.env文件中app.php或任何git跟踪的文件中注意:更改应用程序密钥对哈希密码没有影响,因为哈希算法不需要加密密钥。
config/app.php中:此密钥由 Illuminate 加密服务使用... - Kyslik