はじめに

Laravelの暗号化サービスは、AES-256およびAES-128暗号化を使用してOpenSSL経由でテキストを暗号化および復号化するためのシンプルで便利なインターフェースを提供します。Laravelのすべての暗号化された値は、メッセージ認証コード(MAC)を使用して署名されているため、暗号化された後はその基になる値を変更したり改ざんしたりすることはできません。

設定

Laravelの暗号化機能を使用する前に、key設定オプションをconfig/app.php設定ファイルに設定する必要があります。この設定値はAPP_KEY環境変数によって駆動されます。この変数の値を生成するにはphp artisan key:generateコマンドを使用するべきです。なぜなら、key:generateコマンドはPHPの安全なランダムバイト生成器を使用して、アプリケーションのための暗号的に安全なキーを構築するからです。通常、APP_KEY環境変数の値はLaravelのインストール中に自動的に生成されます。

暗号化キーの優雅なローテーション

アプリケーションの暗号化キーを変更すると、すべての認証されたユーザーセッションはアプリケーションからログアウトされます。これは、セッションクッキーを含むすべてのクッキーがLaravelによって暗号化されているためです。さらに、以前の暗号化キーで暗号化されたデータを復号化することはもはや不可能になります。

この問題を軽減するために、LaravelはアプリケーションのAPP_PREVIOUS_KEYS環境変数に以前の暗号化キーをリストすることを許可します。この変数には、すべての以前の暗号化キーのカンマ区切りリストが含まれる場合があります: 

  1. APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
  2. APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="

この環境変数を設定すると、Laravelは常に値を暗号化する際に「現在の」暗号化キーを使用します。ただし、値を復号化する際には、Laravelはまず現在のキーを試み、復号化が失敗した場合は、以前のすべてのキーを試して、いずれかのキーが値を復号化できるまで続けます。

この優雅な復号化のアプローチにより、暗号化キーがローテーションされても、ユーザーはアプリケーションを中断することなく使用し続けることができます。

暗号化機能の使用

値の暗号化

  3. ``````php
  4. <?php
  6. namespace App\Http\Controllers;
  8. use Illuminate\Http\RedirectResponse;
  9. use Illuminate\Http\Request;
  10. use Illuminate\Support\Facades\Crypt;
  12. class DigitalOceanTokenController extends Controller
  13. {
  14.    /**
  15.      * Store a DigitalOcean API token for the user.
  16.    */
  17.    public function store(Request $request): RedirectResponse
  18.    {
  19.    $request->user()->fill([
  20.    'token' => Crypt::encryptString($request->token),
  21.    ])->save();
  23.    return redirect('/secrets');
  24.    }
  25. }
  26. `

値の復号化

  3. ``````php
  4. use Illuminate\Contracts\Encryption\DecryptException;
  5. use Illuminate\Support\Facades\Crypt;
  7. try {
  8.    $decrypted = Crypt::decryptString($encryptedValue);
  9. } catch (DecryptException $e) {
  10.    // ...
  11. }
  12. `