如果他们可以访问laravel项目的应用程序密钥,他们可以做什么?
可以做些什么?
答案 0 :(得分:1)
基本上,他们可以解密和加密几乎任何东西,你的应用程序会接受它作为输入。
例如,使用您的应用密钥,有人可以生成cookie,将其作为您应用的任何用户登录,而无需使用任何密码。
如果有人偷了那把钥匙,最好尽快再生。
然而,它会使您应用加密的所有内容无效。所以请记住我,令牌,cookie和会话将失效,每个人都必须重新登录。
此外,如果您在应用中使用Encrypter类,请记住它不能再成功解密任何以前加密过的东西,因此您必须通过使用旧解密来迁移数据密钥,然后用新密钥重新加密。
最烦人的部分是使用Hash:make创建的每个密码都将不再有效。但是,如果攻击者可以访问您的APP密钥,他也可以访问您的数据库凭据,因此您的完整密码数据库不再安全,您应该强制用户重新生成所有密码。