Vai al contenuto principale

Cos’è la facade Crypt

Il servizio di cifratura di Laravel offre una semplice interfaccia per cifrare e decifrare valori usando la cifratura OpenSSL AES-256-CBC (o AES-128-CBC). Tutti i valori cifrati con Laravel sono firmati con un Message Authentication Code (MAC). Se il valore cifrato viene manomesso, non è più possibile decifrarlo.

Configurazione

Generare APP_KEY

Prima di usare la cifratura è necessaria la configurazione key di config/app.php. Questo valore viene letto dalla variabile d’ambiente APP_KEY. Usa il comando php artisan key:generate per generare una chiave sicura. Viene generata una chiave crittograficamente sicura usando il generatore di numeri casuali sicuro di PHP.
php artisan key:generate
Di norma viene generata automaticamente durante l’installazione di Laravel. La chiave generata viene salvata nel file .env.
APP_KEY=base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY=
Non divulgare mai APP_KEY. Se venisse compromessa, tutti i dati cifrati sarebbero decifrabili.

Rotazione delle chiavi di cifratura

Cambiando la chiave di cifratura, tutte le sessioni utente autenticate vengono terminate. Questo perché Laravel cifra tutti i cookie, inclusi i cookie di sessione. Inoltre, i dati cifrati con la chiave precedente non potranno più essere decifrati. Per mitigare il problema, puoi elencare le chiavi precedenti in APP_PREVIOUS_KEYS, separate da virgola.
APP_KEY="base64:J63qRTDLub5NuZvP+kb8YIorGS6qFYHKVo6u7179stY="
APP_PREVIOUS_KEYS="base64:2nLsGFGzyoae2ax3EF2Lyq/hH6QghBGLIq5uL+Gp8/w="
Laravel usa sempre la chiave corrente per cifrare. In fase di decifratura, se la chiave corrente fallisce, prova in ordine quelle precedenti. In questo modo gli utenti possono continuare a usare l’applicazione durante la rotazione delle chiavi.

Cifratura

Usa il metodo encryptString della facade Crypt per cifrare un valore. Il valore cifrato usa OpenSSL con cifratura AES-256-CBC e viene firmato con un MAC.
<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Crypt;

class DigitalOceanTokenController extends Controller
{
    /**
     * Salva il token API dell'utente
     */
    public function store(Request $request): RedirectResponse
    {
        $request->user()->fill([
            'token' => Crypt::encryptString($request->token),
        ])->save();

        return redirect('/secrets');
    }
}
encryptString cifra la stringa senza serializzazione. Per cifrare oggetti o array usa encrypt.
MetodoUso
Crypt::encryptString($value)Cifra la stringa così com’è
Crypt::encrypt($value)Serializza il valore e poi lo cifra (supporta array/oggetti)

Decifratura

Con il metodo decryptString della facade Crypt decifri un valore. Se la decifratura non riesce (ad esempio MAC non valido) viene lanciata DecryptException.
use Illuminate\Contracts\Encryption\DecryptException;
use Illuminate\Support\Facades\Crypt;

try {
    $decrypted = Crypt::decryptString($encryptedValue);
} catch (DecryptException $e) {
    // Gestione del fallimento della decifratura
    abort(400, 'Dati non validi.');
}
MetodoUso
Crypt::decryptString($value)Decifra come stringa
Crypt::decrypt($value)Decifra e deserializza (supporta array/oggetti)

Cast dei modelli

Nei modelli Eloquent puoi cifrare e decifrare attributi automaticamente con il cast encrypted.
<?php

namespace App\Models;

use Illuminate\Database\Eloquent\Model;

class User extends Model
{
    protected function casts(): array
    {
        return [
            'secret_note'    => 'encrypted',           // Cifratura di una stringa
            'profile_data'   => 'encrypted:array',     // Salva un array cifrato
            'preferences'    => 'encrypted:collection',// Salva una collection cifrata
            'metadata'       => 'encrypted:object',    // Salva un oggetto cifrato
            'settings'       => 'encrypted:json',      // Salva JSON cifrato
        ];
    }
}
Con il cast configurato, gli attributi vengono cifrati/decifrati automaticamente al momento dell’assegnazione o della lettura.
// Cifrato automaticamente e salvato nel DB
$user->secret_note = 'Nota segreta';
$user->save();

// Decifrato automaticamente in lettura
echo $user->secret_note; // 'Nota segreta'
I cast encrypted:* usano internamente Crypt::encrypt e Crypt::decrypt. Per la colonna del database sono consigliati i tipi text o longText.

Esempio pratico: salvataggio cifrato di dati personali

Pattern tipico per salvare in modo sicuro dati personali (codice fiscale, numero di carta di credito, ecc.) nel database.

Migration

Schema::create('profiles', function (Blueprint $table) {
    $table->id();
    $table->foreignId('user_id')->constrained();
    $table->text('tax_code')->nullable();      // Valore cifrato salvato come text
    $table->text('bank_account')->nullable();
    $table->timestamps();
});

Modello

<?php

namespace App\Models;

use Illuminate\Database\Eloquent\Model;

class Profile extends Model
{
    protected $fillable = ['user_id', 'tax_code', 'bank_account'];

    protected function casts(): array
    {
        return [
            'tax_code'     => 'encrypted',
            'bank_account' => 'encrypted',
        ];
    }
}

Controller

use App\Models\Profile;
use Illuminate\Http\Request;

class ProfileController extends Controller
{
    public function store(Request $request)
    {
        $request->validate([
            'tax_code'     => ['required', 'string'],
            'bank_account' => ['required', 'string'],
        ]);

        // Il modello cifra e salva automaticamente
        Profile::create([
            'user_id'      => $request->user()->id,
            'tax_code'     => $request->tax_code,
            'bank_account' => $request->bank_account,
        ]);

        return redirect('/profile');
    }

    public function show(Request $request)
    {
        $profile = $request->user()->profile;

        // Il modello decifra automaticamente in lettura
        return view('profile.show', ['profile' => $profile]);
    }
}

ObiettivoMetodo
Generare APP_KEYphp artisan key:generate
Cifrare una stringaCrypt::encryptString($value)
Decifrare una stringaCrypt::decryptString($value)
Cifrare array/oggettiCrypt::encrypt($value)
Cifrare automaticamente un attributo del modelloCast 'column' => 'encrypted'
Rotazione delle chiaviElenca le chiavi precedenti in APP_PREVIOUS_KEYS

Prossimi passi

Hashing

Impara come fare hashing sicuro delle password e come verificarle.

Autorizzazione

Il controllo degli accessi con Policy e Gate.
Ultima modifica il 13 luglio 2026