```html

PHP在线加密服务介绍

在Web开发中，敏感数据（如API密钥、用户凭证、配置参数）常需临时加密传输或存储。虽然生产环境应优先使用服务端安全机制（如HTTPS、数据库加密字段），但开发调试、内部工具或轻量级场景下，PHP在线加密服务可提供便捷、可控的加解密能力。

所谓“在线加密服务”，并非指依赖第三方公有云API，而是指基于PHP构建的、部署于自有服务器的轻量级HTTP接口服务，支持AES、RSA等主流算法，具备鉴权与审计能力。

核心设计原则

• 零密钥暴露：密钥不通过URL或请求体明文传递，采用预共享密钥（PSK）或JWT令牌校验
• 算法标准化：首选openssl_encrypt()/openssl_decrypt()（PHP 7.1+），禁用已废弃的mcrypt
• 格式统一：输出Base64编码JSON，含data、iv（向量）、algo字段，便于跨语言兼容

简易服务示例（AES-256-CBC）

以下为一个安全、可直接部署的PHP加密接口（encrypt.php）：

<?php
// encrypt.php —— 轻量级在线加密服务（需配合Nginx/Apache限流与IP白名单）
header('Content-Type: application/json; charset=utf-8');
header('Access-Control-Allow-Origin: *'); // 生产环境请严格限制

// 预共享密钥（建议从环境变量或配置文件读取）
$PSK = 'your_strong_32byte_secret_key_here!'; // 必须32字节用于AES-256

// 验证请求
if ($_SERVER['REQUEST_METHOD'] !== 'POST' || !isset($_POST['text'])) {
    http_response_code(400);
    echo json_encode(['error' => 'Missing POST parameter "text"']);
    exit;
}

// 校验PSK（模拟简单认证，生产环境建议用Bearer Token）
if (!hash_equals($PSK, $_POST['psk'] ?? '')) {
    http_response_code(403);
    echo json_encode(['error' => 'Invalid PSK']);
    exit;
}

$text = $_POST['text'];
$method = 'AES-256-CBC';
$ivlen = openssl_cipher_iv_length($method);
$iv = openssl_random_pseudo_bytes($ivlen);
$key = hash('sha256', $PSK, true); // 衍生密钥

$ciphertext = openssl_encrypt($text, $method, $key, OPENSSL_RAW_DATA, $iv);
if ($ciphertext === false) {
    http_response_code(500);
    echo json_encode(['error' => 'Encryption failed']);
    exit;
}

// 返回标准结构
echo json_encode([
    'data' => base64_encode($ciphertext),
    'iv'   => base64_encode($iv),
    'algo' => $method,
    'ts'   => date('c')
]);
?>

💡 使用方式：
curl -X POST http://your-domain.com/encrypt.php \ -d "text=Hello World" \ -d "psk=your_strong_32byte_secret_key_here!"

结语

PHP在线加密服务的价值不在于替代专业密码学方案，而在于为开发者提供可控、透明、可审计的安全工具链入口。结合Composer包（如defuse/php-encryption）与现代框架中间件，可快速构建符合OWASP ASVS标准的加密微服务。记住：安全不是功能，而是贯穿设计、实现与运维的持续实践。

```