README

一个用于自动加密和解密Laravel 5.5+中的Eloquent属性的包，基于配置设置。

此项目的目的是创建一个“设置后即可忘记”的包，可以轻松安装，以透明的方式加密和解密存储在数据库表中的Eloquent模型属性。因此，它具有强烈的观点，但专为配置而设计。

启用后，它将自动开始加密存储在模型属性中的数据，并在从模型属性中检索数据时解密数据。

所有加密的数据都带有标题，以便轻松识别加密数据，轮换加密密钥，以及（可选）加密数据格式的版本控制。

这支持存储加密或非加密数据的列，以便于迁移。数据可以正确地从列中读取，无论其是否加密，但在将其保存回这些列时将被自动加密。即使数据库中存储的底层值被此包加密，标准的Laravel Eloquent功能（如属性转换）也将继续按正常工作。

有关 laravel-database-encryption 的在线文档，源代码位于docs/目录中。最合理的起点是HasEncryptedAttributes特质的文档。

目录

• 摘要
• 要求
• 状态
• 模式
• 安装
  • 步骤 1：Composer
  • 步骤 2：启用包（可选）
  • 步骤 3：配置包
• 使用方法
• 密钥和IV
• 单元测试
• 覆盖
• 常见问题解答
  • 我可以手动加密或解密任意数据吗？
  • 我可以搜索加密数据吗？
  • 我可以加密所有User模型数据吗？
  • 此包与elocryptfive是否兼容？
  • 此包与insert-random-Eloquent-package-here是否兼容？
• 实现
• 鸣谢
• 贡献
• 许可

要求

• Laravel: 5.5, 5.6, 5.7, 或 5.8
• PHP: 7.1, 7.2, 或 7.3
• PHP OpenSSL 扩展

状态

框架	版本	发布	状态	PHP v7.1	PHP v7.2	PHP v7.3
Laravel	v5.5	v0.1.0 (Packagist)	稳定
Laravel	v5.6	v0.1.1 (Packagist)	稳定
Laravel	v5.7	v0.2.0 (Packagist)	稳定
Laravel	v5.8	v0.2.1 (Packagist)	稳定

数据模式

加密的值通常比明文值长，有时长得多。您可能会发现数据库表中列的宽度需要调整以存储此包生成的加密值。

如果您正在加密如JSON blob之类的长字符串，则加密的值可能比VARCHAR字段支持的长度长，您需要将列类型更改为TEXT或LONGTEXT。

常见问题解答部分包含如果您从elocryptfive迁移的迁移说明。

安装

步骤 1：Composer

通过Composer命令行

$ composer require austinheap/laravel-database-encryption

或将包添加到您的composer.json

{
    "require": {
        "austinheap/laravel-database-encryption": "^0.2"
    }
}

步骤 2：启用包（可选）

此包实现了Laravel自动发现功能。安装后，会自动添加包提供者和外观。

如果您想显式声明提供者和/或别名，您可以首先将服务提供者添加到您的config/app.php文件

'providers' => [
    //
    AustinHeap\Database\Encryption\EncryptionServiceProvider::class,
];

然后添加别名到您的config/app.php文件

'aliases' => [
    //
    'DatabaseEncryption' => AustinHeap\Database\EncryptionFacade::class,
];

步骤 3：配置包

发布包配置文件

$ php artisan vendor:publish --provider="AustinHeap\Database\Encryption\EncryptionServiceProvider"

现在，您可以通过编辑config/database-encryption.php文件来启用Eloquent模型的自动加密和解密

return [
    'enabled' => env('DB_ENCRYPTION_ENABLED', true),
];

或者只需通过Laravel的.env文件或托管环境设置环境变量DB_ENCRYPTION_ENABLED为true。

DB_ENCRYPTION_ENABLED=true

使用方法

在您希望应用加密的任何Eloquent模型中使用HasEncryptedAttributes特质，并定义一个包含要加密的属性列表的protected $encrypted数组。

例如

    use AustinHeap\Database\Encryption\Traits\HasEncryptedAttributes;

    class User extends Eloquent {
        use HasEncryptedAttributes;
       
        /**
         * The attributes that should be encrypted on save.
         *
         * @var array
         */
        protected $encrypted = [
            'address_line_1', 'first_name', 'last_name', 'postcode'
        ];
    }

您可以将$casts和$encrypted结合起来存储加密数组。数组将首先被转换为JSON然后加密。

例如

    use AustinHeap\Database\Encryption\Traits\HasEncryptedAttributes;

    class User extends Eloquent {
        use HasEncryptedAttributes;

        protected $casts     = ['extended_data' => 'array'];
        protected $encrypted = ['extended_data'];
    }

通过包含HasEncryptedAttributes特质，Eloquent提供的setAttribute()和getAttributeFromArray()方法被覆盖以包含额外的步骤。此额外步骤只是检查通过setter/getter访问的属性是否包含在模型上的$encrypted数组中，然后相应地进行加密或解密。

密钥和IV

所使用的密钥和加密算法是默认的 Laravel Encrypter 服务，配置在您的 config/app.php 文件中。

    'key' => env('APP_KEY', 'SomeRandomString'),
    'cipher' => 'AES-256-CBC',

如果您使用 AES-256-CBC 作为加密数据的密文，如果您还没有生成应用密钥，可以使用内置命令 php artisan key:generate 生成。如果您正在加密较长的数据，可能需要考虑使用 AES-256-CBC-HMAC-SHA1 密文。

加密的 IV 是随机生成的，不能设置。

单元测试

此包使用了优秀的 orchestral/testbench 包构建的激进单元测试，该包构建在 PHPUnit 之上。执行单元测试需要 MySQL 服务器。

可以在网络上找到 laravel-database-encryption 的代码覆盖率报告。

覆盖

以下 Laravel 5.5 中 Eloquent 方法受此特性影响。

• constructor() -- 调用 fill()。
• fill() -- 调用 setAttribute()，该函数已扩展以加密数据。
• hydrate() -- 待定。
• create() -- 调用 constructor()，因此调用 fill()。
• firstOrCreate() -- 调用 constructor()。
• firstOrNew() -- 调用 constructor()。
• updateOrCreate() -- 调用 fill()。
• update() -- 调用 fill()。
• toArray() -- 调用 attributesToArray()。
• jsonSerialize() -- 调用 toArray()。
• toJson() -- 调用 toArray()。
• attributesToArray() -- 调用 getArrayableAttributes()。
• getAttribute() -- 调用 getAttributeValue()。
• getAttributeValue() -- 调用 getAttributeFromArray()。
• getAttributeFromArray() -- 调用 getArrayableAttributes()。
• getArrayableAttributes() -- 扩展以解密数据。
• setAttribute() -- 扩展以加密数据。
• getAttributes() -- 扩展以解密数据。
• castAttribute() -- 扩展以转换加密数据。
• isDirty() -- 扩展以识别加密数据。

常见问题解答（FAQ）

我能否手动加密或解密任意数据？

是的！您可以使用 encryptedAttribute() 和 decryptedAttribute() 函数手动加密或解密数据。例如

    $user = new User();
    $encryptedEmail = $user->encryptedAttribute(Input::get('email'));

我能否搜索加密数据？

不！您将无法搜索此包加密的属性，因为……它是加密的。比较加密值需要固定的 IV，这会引入安全问题。

如果您需要搜索数据，那么您可以选择以下方式之一：

• 不加密，或者
• 对数据进行哈希处理，然后使用知名的哈希算法（如 SHA256）在哈希值上进行搜索而不是加密值。

您可以同时存储哈希值和加密值，使用哈希值进行搜索，并在需要时检索加密值。

我能否加密所有 User 模型的数据？

不！与搜索相同的问题也适用于身份验证，因为身份验证需要搜索。

这个包与 elocryptfive 是否直接兼容？

不！虽然它是一个（更现代的）替代品，但它并非开箱即用即可兼容。要从elocryptfive迁移到这个包，您必须

1. 解密数据库中由elocryptfive加密的所有数据。
2. 从您的模型/代码中删除对elocryptfive的所有调用。
3. 从您的composer.json中删除elocryptfive，并运行composer update。
4. 到这一步，您应该数据库中没有加密数据，也没有任何调用/引用，但请确保elocryptfive被完全清除。
5. 按照上述安装说明进行操作。
6. ???
7. 盈利！

欢迎提交用于自动化迁移的pull请求，但当前它超出了本项目目标范围。

此包与insert-random-Eloquent-package-here兼容吗？

可能不兼容！保证与随机包之间的互操作性是不可行的，尤其是那些也大量修改Eloquent默认行为的包。

不会接受关于互操作性的问题和pull请求。

实现

以下流量较大的网站在生产中使用此包

• securitytext.org - security.txt 文档注册和whois服务器

鸣谢

这是delatbabel/elocryptfive的分支，而delatbabel/elocryptfive是dtisgodsson/elocrypt的分支，后者是基于早期工作的。

• delatbabel/elocryptfive 贡献者
• dtisgodsson/elocrypt 贡献者

贡献

欢迎pull请求！请参阅贡献指南以获取更多信息。

许可

MIT许可（MIT）。请参阅许可文件以获取更多信息。