laravel 中应使用 crypt::encryptstring() 和 crypt::decryptstring() 处理业务数据加密,因其不依赖 php 序列化、兼容跨语言、支持时效性控制,而 encrypt()/decrypt() 仅适用于框架内部敏感数据。
PHP 加密在 Laravel 中不推荐直接用原生 openssl_encrypt 或 mcrypt,Laravel 提供的 Crypt 门面才是安全、开箱即用的正确方式——它默认使用 AES-256-CBC + HMAC-SHA256,且自动处理 IV、密钥派生和防篡改校验。
为什么不能直接用 encrypt() 和 decrypt() 处理用户输入?
这两个方法是为「框架内部敏感数据」设计的(比如 session、remember_Token),不是通用加密工具。它们依赖 APP_KEY,且加密结果包含序列化结构,若传入非 PHP 序列化数据(如 jsON 字符串、整数)可能解密失败或触发 DecryptException。
- 传入
"hello"可能成功,但传入{"id":123}(未 json_encode)会因反序列化失败而抛出异常 - 加密后的字符串含
base64+serialize+HMAC三层封装,外部系统无法兼容 - 若需跨语言解密(如前端 JS 或 Python),必须换用
encryptString()/decryptString()
Crypt::encryptString() 和 Crypt::decryptString() 的实际用法
这是唯一推荐用于「业务数据加密」的接口,输入输出均为纯字符串,不走 PHP 序列化,适合存数据库、传 API、生成短链接 token 等场景。
- 加密:接收任意字符串,返回 base64 编码的密文(含 IV 和 HMAC)
- 解密:仅接受
Crypt::encryptString()输出的密文;若被篡改或过期,抛出DecryptException - 密钥仍由
APP_KEY派生,无需手动管理 - 示例:
// 加密用户邮箱用于 URL 参数 $encrypted = Crypt::encryptString('user@example.com'); // 解密(需放在 try/catch 中) try { $email = Crypt::decryptString($encrypted); } catch (DecryptException $e) { // 密文无效、过期或被篡改 }
加密有效期控制与常见报错原因
Crypt 默认不限制有效期,但可通过 useSeconds() 配合 decryptString() 实现时效性(例如一次性验证码)。
- 设置 300 秒过期:
Crypt::decryptString($cipher, 300) - 错误
IlluminateContractsEncryptionDecryptException: The payload is invalid.通常因为:- 密文被截断(如 URL 中未 urlencode,丢失
+或/) - 用了不同环境的
APP_KEY(本地加密、线上解密) - 密文从数据库读出时被自动 trim 或编码转换(如 utf8mb4 存储导致末尾等号丢失)
- 密文被截断(如 URL 中未 urlencode,丢失
- 避免陷阱:存储前用
urlencode(),读取后urldecode();数据库字段类型用TEXT或LONGTEXT,别用VARCHAR(255)
真正要注意的是:Laravel 的 Crypt 不是“加密工具箱”,它是“安全令牌构造器”。所有业务上需要可逆、可验证、有时效的数据封装,都该走 encryptString;想自己控制算法、模式或密钥?说明你已脱离 Laravel 安全模型,得自己承担密钥轮换、填充攻击、侧信道防护等全部责任。