```html PHP在线加密服务介绍 | 安全开发实践

PHP在线加密服务介绍

在Web开发中，敏感数据（如API密钥、用户凭证、配置参数）常需临时加密传输或存储。虽然生产环境应优先使用服务端安全机制（如HTTPS、数据库加密字段），但开发调试、内部工具或轻量级场景下，PHP在线加密服务可提供便捷、可控的加解密能力。

所谓“在线加密服务”，并非指依赖第三方公有云API，而是指基于PHP构建的、部署于自有服务器的轻量级HTTP接口服务，支持AES、RSA等主流算法，具备身份校验与速率限制，兼顾安全性与易用性。

核心设计原则

无状态设计：不持久化明文/密文，请求即处理，响应后立即释放内存
密钥隔离：主密钥通过环境变量加载（$_ENV['ENCRYPTION_KEY']），绝不硬编码
算法标准化：推荐AES-256-CBC（对称）+ OpenSSL扩展，兼容性强

示例：轻量级AES在线加密API

以下为一个精简可用的服务端脚本（encrypt.php），支持POST请求加解密：

<?php
// encrypt.php —— 简单安全的在线加密服务入口
header('Content-Type: application/json; charset=utf-8');
header('X-Content-Type-Options: nosniff');

// 1. 基础验证（实际项目建议接入JWT或IP白名单）
if (!isset($_SERVER['HTTP_X_API_KEY']) || $_SERVER['HTTP_X_API_KEY'] !== $_ENV['API_SECRET'] ?? 'dev-key') {
    http_response_code(403);
    echo json_encode(['error' => 'Invalid API key']);
    exit;
}

// 2. 解析JSON请求体
$input = json_decode(file_get_contents('php://input'), true);
if (!$input || !isset($input['data']) || !is_string($input['data'])) {
    http_response_code(400);
    echo json_encode(['error' => 'Missing or invalid "data" field']);
    exit;
}

$method = $input['method'] ?? 'encrypt';
$key = $_ENV['ENCRYPTION_KEY'] ?? '32-byte-secret-key-for-aes256!!'; // 生产环境务必使用openssl_random_pseudo_bytes(32)
$ivlen = openssl_cipher_iv_length($cipher = 'AES-256-CBC');
$iv = openssl_random_pseudo_bytes($ivlen);

try {
    if ($method === 'encrypt') {
        $encrypted = openssl_encrypt($input['data'], $cipher, $key, 0, $iv);
        $result = base64_encode($iv . $encrypted);
    } elseif ($method === 'decrypt') {
        $decoded = base64_decode($input['data']);
        $iv = substr($decoded, 0, $ivlen);
        $ciphertext = substr($decoded, $ivlen);
        $result = openssl_decrypt($ciphertext, $cipher, $key, 0, $iv);
    } else {
        throw new Exception('Unsupported method');
    }

    echo json_encode(['success' => true, 'data' => $result]);
} catch (Exception $e) {
    http_response_code(500);
    echo json_encode(['error' => 'Encryption failed: ' . $e->getMessage()]);
}
?>

⚠️ 重要提醒：此示例仅适用于内网调试或可信环境。生产部署前必须：
• 启用HTTPS强制加密
• 配置Nginx/Apache访问控制（如allow 192.168.1.0/24; deny all;）
• 使用openssl_random_pseudo_bytes()生成真随机密钥
• 添加请求频率限制（如Redis计数器）

客户端调用示例（cURL）

# 加密请求
curl -X POST http://localhost/encrypt.php \
  -H "X-API-Key: dev-key" \
  -H "Content-Type: application/json" \
  -d '{"data":"Hello World!","method":"encrypt"}'

# 解密请求（传入上一步返回的密文）
curl -X POST http://localhost/encrypt.php \
  -H "X-API-Key: dev-key" \
  -H "Content-Type: application/json" \
  -d '{"data":"Base64EncodedCipherText...","method":"decrypt"}'

结语：在线加密服务是开发效率与安全平衡的产物。它不是替代方案，而是辅助工具——真正的安全，永远始于最小权限原则、纵深防御架构与持续的安全意识。

```