```html PHP在线加密服务介绍 | 安全开发实践

PHP在线加密服务介绍

在Web开发中，敏感数据（如API密钥、用户凭证、配置参数）常需临时加密传输或存储。虽然生产环境应优先使用服务端安全机制（如HTTPS、数据库加密字段），但开发调试、内部工具或轻量级场景下，PHP在线加密服务可提供便捷、可控的加解密能力。

所谓“在线加密服务”，并非指第三方云服务，而是指基于PHP构建的、部署于自有服务器的轻量级HTTP接口，支持标准算法（如AES-256-CBC、ChaCha20）的对称加解密，具备密钥隔离、时效控制与请求验证等基础安全特性。

核心设计原则

零密钥暴露：密钥不通过URL或POST体传递，而是通过HTTP头（如 X-Encrypt-Key）或预共享Token校验
算法标准化：仅支持PHP内置的openssl_encrypt()/openssl_decrypt()，禁用已废弃的mcrypt
防重放攻击：要求客户端提供时间戳+HMAC签名，服务端校验时效性（如±30秒）

简易实现示例

以下是一个安全、可运行的PHP加密服务端片段（encrypt.php）：

<?php
// encrypt.php —— 轻量级在线加密服务（需配合Nginx/Apache启用CORS）
header('Content-Type: application/json; charset=utf-8');
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST');
header('Access-Control-Allow-Headers: X-Encrypt-Key, X-Timestamp, X-Signature');

// 预设密钥（实际项目请从环境变量或配置中心加载）
$MASTER_KEY = 'your_32_byte_secret_key_here_12345678'; // AES-256要求32字节

if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    echo json_encode(['error' => 'Method not allowed']);
    exit;
}

// 验证必要头部
$timestamp = $_SERVER['HTTP_X_TIMESTAMP'] ?? null;
$signature = $_SERVER['HTTP_X_SIGNATURE'] ?? null;
$keyHeader = $_SERVER['HTTP_X_ENCRYPT_KEY'] ?? null;

if (!$timestamp || !$signature || !$keyHeader) {
    http_response_code(400);
    echo json_encode(['error' => 'Missing required headers']);
    exit;
}

// 时效校验（±30秒）
if (abs(time() - (int)$timestamp) > 30) {
    http_response_code(400);
    echo json_encode(['error' => 'Request expired']);
    exit;
}

// HMAC校验（防止篡改）
$expectedSig = hash_hmac('sha256', $timestamp . $keyHeader, $MASTER_KEY);
if (!hash_equals($expectedSig, $signature)) {
    http_response_code(401);
    echo json_encode(['error' => 'Invalid signature']);
    exit;
}

$data = file_get_contents('php://input');
if (empty($data)) {
    http_response_code(400);
    echo json_encode(['error' => 'Empty payload']);
    exit;
}

// 执行AES-256-CBC加密
$ivlen = openssl_cipher_iv_length($cipher = "AES-256-CBC");
$iv = openssl_random_pseudo_bytes($ivlen);
$encrypted = openssl_encrypt($data, $cipher, $keyHeader, $options = 0, $iv);

if ($encrypted === false) {
    http_response_code(500);
    echo json_encode(['error' => 'Encryption failed']);
    exit;
}

// 返回Base64编码结果（含IV）
$result = [
    'ciphertext' => base64_encode($encrypted),
    'iv' => base64_encode($iv),
    'algorithm' => $cipher
];

echo json_encode($result);
?>

💡 使用示例（cURL）：
curl -X POST http://localhost/encrypt.php \ -H "X-Encrypt-Key: my-secret-32-byte-key-123456789012" \ -H "X-Timestamp: $(date +%s)" \ -H "X-Signature: $(echo "$(date +%s)my-secret-32-byte-key-123456789012" | hmac-sha256 your_32_byte_secret_key_here_12345678)" \ -d "Hello, PHP Encryption!"

⚠️ 重要提醒：本文示例仅适用于内网调试或受控环境。生产系统严禁将密钥明文写入代码；务必启用HTTPS、IP白名单、速率限制，并定期轮换密钥。

通过封装此类服务，团队可快速构建统一加密网关，兼顾安全性与开发效率。记住：加密不是万能的，但合理运用，能让数据多一道坚实防线。

```