浅析 APP_KEY 的作用

最新推荐文章于 2024-05-02 20:40:27 发布
最新推荐文章于 2024-05-02 20:40:27 发布
阅读量468 收藏
点赞数
分类专栏: 技术文档与使用说明书 文章标签: php laravel APP_KEY
原文链接:https://learnku.com/articles/31169
版权

本文翻译自 APP_KEY And You

可能每个 Laravel 开发者新建或者克隆一个 Laravel 程序的时候,composer install 之后最可能以及最重要的的第一步操作就是生成 APP_KEY。

在这篇文章中我们会讨论 APP_KEY 能做的和不能做的,有些人会把用户密码的哈希处理与 APP_KEY 相关联(实际上它们毫无关联)。

什么是 APP_KEY
每一个 Laravel 程序都会生成一个随机的 32 位长度的字符串存储在.env 文件中的 APP_KEY 键值中,当我们新建 Laravel 项目的时候会自动为你创建一个,只有在克隆的时候你才有可能发现它没有被设定。

你可能看到过下面的错误,说明 APP_KEY 没有设定

你可以自己手动生成或者使用 php artisan key:generate 来进行创建 APP_KEY。

当你的应用程序执行的时候,只有一个地方会用到 APP_KEY:cookies。Laravel 使用它来加密所有的 cookies,在将 cookie 返回给用户之前 Laravel 会对 cookie 进行加密,然后再返回给用户,这样客户端就无法自己修改 cookie 来伪装成管理员或者其他用户了。

所以的加密和解密都在 Encrypter中进行处理,其中主要使用了 [openssl_encrypt](https://secure.php.net/manual/en/function.openssl-encrypt.php) 进行加密。

有很多用户都会有一个误解,那就是 APP_KEY 是用来处理用户哈希密码的。事实上不是这样的。Laravel 的密码使用了 Hash::make() 或者 bcrypt() 来进行哈希处理,其中并没有用到 APP_KEY。

加密 VS 哈希
在 Laravel 中有两个主要的加密 Facade,分别是 Crypt(对称加密) 和 Hash(单向加密哈希)。密码是哈希,而 cookie 则是对称加密。

对称加密
假设我想发送一条加密的信息给我的好友 A。我们商议好了一个用于加密和解密的 key:

$key = "dont-panic";
当我想要发送一条只有上面的 key 能解锁的信息时,我们可以使用 openssl_encrypt()(Laravel 的 Crypt 也是使用的这个方法),具体如下:

$message = "So long and thanks for all the fish";
$key = "dont-panic";
$cipher = "AES-256-CBC";
echo openssl_encrypt($message, $cipher, $key);

// JJEK8L4G3BCfY0evXDRxUke2zqAzq6i7wL/Px4SjaEHXqt3x7hsj4+PhVQaH4ujX
此时,你就可以把这段加密的代码发送给 A,然后他可以进行解密了。

$secret = "JJEK8L4G3BCfY0evXDRxUke2zqAzq6i7wL/Px4SjaEHXqt3x7hsj4+PhVQaH4ujX";
$key = "dont-panic";
$cipher = "AES-256-CBC";
echo openssl_decrypt($secret, $cipher, $key);

// So long and thanks for all the fish
Laravel 的 cookie 加密解密也是同理,只不过 key 使用的是 APP_KEY。

单向哈希
当我们使用密码的时候,我们应当从不使用对称加密的方法,来避免用户可能解密密码。这表示 Crypt 无法胜任,因此我们需要使用哈希方法,具有如下的特点:

快速:计算机能够快速的生成哈希值
确定性:针对同样的输入,输出是固定的
随机性:即使只更改一位字符串,哈希之后的输出应该十分不同
唯一性:碰撞概率应该非常非常的小
难于被暴力破解: 哈希之后的值应当难以被暴力破解
你应当听说过许多的单向哈希算法,例如 md5 和 SHA-1。在 Laravel 中使用了 PHP 的原生方法 password_hash(),它使用的哈希算法叫 bcrypt。

use Illuminate\Support\Facades\Hash;

$password = "dont-panic";
echo Hash::make($password);

// $2y$10$hEEF0lv4spxnvw5O4XyLZ.QjCE1tCu8HjMpWhmCS89J0EcSW0XELu
如果你曾经查看过 users 数据表,那么上面的输出你可能会似曾相识。下面解释一下其中的含义:

$2y$ 表示我们使用了 blowfish 算法(bcrypt)
10$ 表示算法使用的 cost(值越高表示生成哈希的时间越长)
hEEF0lv4spxnvw5O4XyLZ. 表示一个 22 位的随机 “盐”
QjCE1tCu8HjMpWhmCS89J0EcSW0XELu 哈希结果
由于这是一个单向哈希,因此我们无法进行解密,我们能做的只是去验证其是否匹配。

use Illuminate\Support\Facades\Hash;

$input = request()->get('password'); // "dont-panic"
$hash = '$2y$10$hEEF0lv4spxnvw5O4XyLZ.QjCE1tCu8HjMpWhmCS89J0EcSW0XELu';
return Hash::check($input, $hash);

// true
因此我们可以看到,在对称加密中我们使用到了 APP_KEY,而在密码哈希的时候我们是不需要使用它的。

总结
更改 APP_KEY 不会使用户的密码失效
更改 APP_KEY 会使 session 和 cookie 失效,导致当前已登录用户退出登录
不要害怕你的 APP_KEY
如果你在其他地方使用了 Laravel 的加密方法,那么你需要制定一个计划来应对 APP_KEY 的更改

————————————————
原文作者:Epona
转自链接:https://learnku.com/articles/31169
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。

qiuchangyong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析is_writable的php实现
10-27
本篇文章是对is_writable的php实现方法进行了详细的分析介绍,需要的朋友参考下
浅析JAVA_HOME,CLASSPATH和PATH的作用
09-05
以下是对JAVA_HOME,CLASSPATH和PATH的作用进行了详细的分析介绍,需要的朋友可以过来参考下
开放api接口平台:appid、appkeyappsecret
热门推荐
qq_45042752的博客
04-11 1万+
目录 一、什么是appid、appkeyappsecret 二、云服务AppId或AppKeyAppSecret生成策略 三、API接口开发安全性 四、基于AccessToken方式实现API设计 五、常见问题总结 六、参考 一、什么是appid、appkeyappsecret AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码) token:令牌(过期失效) app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id 在
envkey-app:安全,人性化,跨平台的秘密和配置
02-04
EnvKey应用程式 这是的跨平台本机应用程序。 它支持Mac,Windows和Linux。 EnvKey是一种端到端的加密机密和配置管理工具。 它可以使您的配置安全且自动地与所有开发人员和服务器同步。 EnvKey应用程序强制执行零知识协议。 服务器永远不会看到纯文本的配置,也永远不会看到加密密码。 安装 前往并下载适用于您的平台和体系结构的最新发行版。 在linux上,EnvKey使用AppImage格式。 以获取有关运行AppImage的完整说明。 文件与资讯 阅读。 阅读。 阅读。 需要帮忙? 有问题,反馈或想法吗? 发表或给我们发送电子邮件: 。
LaravelAPP_KEY起什么作用
wgchen
09-10 529
框架中是这样描述的: This key is used by the Illuminate encrypter service and should be set to a random, 32 character string, otherwise these encrypted strings will not be safe. Please do this before deploying an application! 也就是这个key是一个随机字符串,用于实现框架中的encrypt(加密)服务,例
php laravel 框架 APP_KEY作用
whatday的专栏
08-30 1686
目录 Laravel 安全修复 什么是 APP_KEY? 关于密码哈希的常见误解 加密与散列 对称加密 单向哈希 更改密钥 多台服务器 现有用户的 sessions (cookies) 您已加密的其他数据 设置新的 APP_KEY 要点 每次 Laravel 开发人员新建或克隆 Laravel 应用时,生成 application keyAPP_KEY 是最重要的初始步骤之一。 最近的 Laravel 安全更新修复了一个 APP_KEY 用途相关的漏洞。为了利用此漏洞,首先
laravel应用程序的秘钥
zl20117的博客
12-08 5487
安装 Laravel 之后接下来需要做的就是设置一个随机字串作为应用的秘钥(key)。如果你是通过 Composer 或 Laravel 安装器安装的 Laravel,这个 key 已经由 key:generate 命令自动生成并设置了。一般情况下,这个作为 key 的字串的长度是 32 个字符。这个 key 还可以在 .env 环境配置文件中设置。如果你没有将 .env.example 文
laravel生成appkey
Nick的博客
03-30 966
phpartisankey:generate
浅析Python __name__ 是什么
09-16
主要介绍了Python __name__ 是什么,本文通过实例代码给大家介绍了Python __name__ 的作用,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
浅析APP面临的现状及推广策略.pdf
08-26
浅析APP面临的现状及推广策略.pdf
浅析js封装和作用
10-27
在编web软件时,遇到一些可以共用js的情况,于是就想着如何封装js代码。基本需求很简单,其实就是根据不同的情况封装js代码
php laravel app key,LaravelAPP_KEY起什么作用
weixin_35140642的博客
03-18 223
引用思否的回答框架中是这样描述的:This key is used by the Illuminate encrypter service and should be set to a random, 32 character string, otherwise these encrypted strings will not be safe. Please do this before depl...
错误解决:laravel没有APP_KEY导致The only supported ciphers are AES-128-CBC and AES-256-CBC with the correct k
t1174148618的博客
05-16 1646
解决方案,生成laravel app_key,命令:[html] view plain copyphp artisan key:generate    错误提示:The only supported ciphers are AES-128-CBC and AES-256-CBC with the correct key lengths....
aped app_key app_secreat
10-06 602
作者:知乎用户 链接:https://www.zhihu.com/question/27814664/answer/140795440 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 app_id, app_key, app_secret , 对于平台来说, 需要给你的 你的开发者账号分配对应的权限: 1. app_id 是用来标
1.申请appkey 2.准备工作 3.小程序基础知识与特性 小程序开发笔记与心得。
weixin_43635751的博客
05-20 1058
微信小程序商业级开发实战:笔记: 第一章申请appkey 1-1.提供:RESTFul API。什么是RESTFul API:REST,即Representational State Transfer的缩。 意思是"表现层状态转化"。 它是一种互联网应用程序的API设计理念:URL定位资源,用HTTP动词(GET,POST,DELETE,DETC)描述操作。 一套协议来规范多种形式的前端和同一个后台的交互方式 就是前端部分使用接口去请求服务器端的数据,然后服务器端响应了,返回数据给前端的一种..
php app env,PHP框架laravel的.env文件配置教程
weixin_36252784的博客
03-09 315
前言大家应该都知道使用laravel框架开发PHP程序的时候,配置框架的.env文件是至关重要的,这个文件上需要配置数据库、数据库用户以及缓存等,下面来一起看看详细的配置教程。一、配置APP_KEYlaravel框架默认在.env配置文件中硬编码了对称加密密钥,开发环境和生产环境不必且应严格禁止使用相同的APP_KEY在项目中运行php artisan key:generate就会在.env文件中...
安装laravel后,如何运行 php artisan key:generate 这个命令
a447180126的专栏
05-26 7899
D: 回到D盘 ,cd 到laravel根目录 然后运行 php artisan key:generate;前提是你项目根目录下有个.env文件,如果没有,敲命令 ”echo 内容 >.env“,生成一个.env 文件(不带引号哦),然后把根路径下的.env.example的内容复制进去,再运行 php artisan key:generate。 为什么要敲命令生成 .env文件?因为我
laravel 获取app_key
weixin_30247781的博客
03-06 213
安装 Laravel 之后接下来需要做的就是设置一个随机字串作为应用的秘钥(key)。如果你是通过 Composer 或 Laravel 安装器安装的 Laravel,这个 key 已经由key:generate命令自动生成并设置了。一般情况下,这个作为 key 的字串的长度是 32 个字符。这个 key 还可以在.env环境配置文件中设置。如果你没有将.env.example...
php利用阿里云短信SDK实现短信发送功能
最新发布
赛时科技
05-02 1032
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编一个函数来调用阿里云短信服务API发送短信验证码。
java 304_http 304 浅析
05-13
换句话说,客户端在发送请求时会带上If-Modified-Since或If-None-Match等条件请求头,服务器会根据这些条件判断资源是否被修改过。如果资源未被修改,服务器会返回304状态码,告诉客户端可以直接使用本地缓存的资源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值