yii2中关于加密解密的那些事儿
前言
yii提供了方便的帮助函数来让你用一个安全秘钥来加密解密数据。数据通过加密函数进行传输,这样只有拥有安全秘钥的人才能解密。比如,我们需要存储一些信息到我们的数据库中,但是,我们需要保证只有拥有安全秘钥的人才能看到它(即使应用的数据库泄露)。
大家也都知道,我们做程序的时候,加密解密是绕不开的话题,使用yii2开发应用的时候,都内置了哪些有关加密解密(安全)方便的支持那?本文将为你揭晓。
相关环境
- 操作系统及ide macos 10.13.1 & phpstorm2018.1.2
- 软件版本 php7.1.8 yii2.0.14
在yii2中,管理加密解密的库叫做security,它以yii2组件的形式存在,因此你可以通过yii::$app->security来获取并使用它。
security组件源代码位置如下
vendor/yiisoft/yii2/base/security.php
security组件一共有15个与加密解密(&编码)相关的公共方法,我们先来列一个清单。
- encryptbypassword
- encryptbykey
- decryptbypassword
- decryptbykey
- hkdf
- pbkdf2
- hashdata
- validatedata
- generaterandomkey
- generaterandomstring
- generatepasswordhash
- validatepassword
- comparestring
- masktoken
- unmasktoken
我想有一些你一定没见过,没关系,我们一一去了解。
generaterandomstring
之所以先说generaterandomstring是因为它最常用,起码我是这样。
public function generaterandomstring($length = 32){...}
生成一个随机的字符串,参数$length代表这个字符串的长度,默认32位。值得说明的是这个字符串的取值为范围是[a-za-z0-9_-]。
generatepasswordhash & validatepassword
generatepasswordhash & validatepassword经常被用来加密用户密码以及对密码是否正确的验证,自从md5可能被碰撞后,我们用yii2开发应用的时候,generatepasswordhash函数对密码进行加密就成为首选了,它调用了crypt函数。
一般用法如下
// 使用generatepasswordhash为用户的密码加密,$hash存储到库中
$hash = yii::$app->getsecurity()->generatepasswordhash($password);
// 使用validatepassword对密码进行验证
if(yii::$app->getsecurity()->validatepassword($password, $hash)){
// 密码正确
}else{
// 密码错误
}
generaterandomkey
和generaterandomstring类似,生成一个随机的串,参数为长度,默认为32位,区别在于generaterandomkey生成的不是ascii。
简单的说 generaterandomstring 约等于 base64_encode(generaterandomkey)。
encryptbypassword & decryptbypassword
编码和解码函数,使用一个秘钥对数据进行编码,然后通过此秘钥在对编码后的数据进行解码。
例子
$dat = yii::$app->security->encryptbypassword("hello","3166886");
echo yii::$app->security->encryptbypassword($dat,"3166886");// hello
要注意,通过上面得到的编码后的数据不是ascii,可以通过base64_encode和base64_decode在外层包装下。
encryptbykey & decryptbykey
同样是一组编码和解码函数,比通过密码的方式要快。函数声明为
public function encryptbykey($data, $inputkey, $info = null){}
public function decryptbykey($data, $inputkey, $info = null){}
encryptbykey & decryptbykey 存在着第三个参数,比如我们可以传递会员的id等,这样此信息将和$inputkey一起作为加密解密的钥匙。
hkdf
使用标准的 hkdf 算法从给定的输入键中导出一个键。在php7+使用的是hash_hkdf方法,小于php7使用hash_hmac方法。
pbkdf2
使用标准的 pbkdf2 算法从给定的密码导出一个密钥。该方法可以用来进行密码加密,不过yii2有更好的密码加密方案 generatepasswordhash。
hashdata和validatedata
有的时候为了防止内容被篡改,我们需要对数据进行一些标记,hashdata和validatedata就是完成这个任务的组合。
hashdata 用来对原始数据进行加数据前缀,比如如下代码
$result = yii::$app->security->hashdata("hello",'123456',false);
// ac28d602c767424d0c809edebf73828bed5ce99ce1556f4df8e223faeec60eddhello
你看到了在hello的前面多了一组字符,这组字符会随着原始数据的不同而变化。这样我们就对数据进行了特殊的防止篡改标记,接下来是validatedata上场了。
注意:hashdata的第三个参数代表生成的哈希值是否为原始二进制格式. 如果为false, 则会生成小写十六进制数字.
validatedata 对已经加了数据前缀的数据进行检测,如下代码
$result = yii::$app->security->validatedata("ac28d602c767424d0c809edebf73828bed5ce99ce1556f4df8e223faeec60eddhello",'123456',false);
// hello
如果返回了原始的字符串则表示验证通过,否则会返回假。
validatedata 函数的第三个参数应该与使用 hashdata() 生成数据时的值相同. 它指示数据中的散列值是否是二进制格式. 如果为false, 则表示散列值仅由小写十六进制数字组成. 将生成十六进制数字.
comparestring
可防止时序攻击的字符串比较,用法非常简单。
yii::$app->security->comparestring("abc",'abc');
结果为真则相等,否则不相等。
那么什么是时序攻击那?我来举一个简单的例子。
if($code == yii::$app->request->get('code')){
}
上面的比较逻辑,两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经常出现的按位破解密码的场景。
而使用 comparestring 比较两个字符串,无论字符串是否相等,函数的时间消耗是恒定的,这样可以有效的防止时序攻击。
masktoken && unmasktoken
masktoken用于掩盖真实token且不可以压缩,同一个token最后生成了不同的随机令牌,在yii2的csrf功能上就使用了masktoken,原理并不复杂,我们看下源码。
public function masktoken($token){
$mask = $this->generaterandomkey(stringhelper::bytelength($token));
return stringhelper::base64urlencode($mask . ($mask ^ $token));
}
而unmasktoken目的也很明确,用于得到被masktoken掩盖的token。
接下来我们看一个例子代码
$token = yii::$app->security->masktoken("123456");
echo yii::$app->security->unmasktoken($token);// 结果为 123456
最后我们总结下
- 加密/解密: encryptbykey()、decryptbykey()、 encryptbypassword() 和 decryptbypassword();
- 使用标准算法的密钥推导: pbkdf2() 和 hkdf();
- 防止数据篡改: hashdata() 和 validatedata();
- 密码验证: generatepasswordhash() 和 validatepassword()
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。