前言:
RSA下加密,解密,加签和验签是四种不同的操作,有时候会搞错,记录一下。
1.公钥加密,私钥解密
发送方通过公钥将原数据加密成一个sign参数,相当于就是信息的载体,接收方能通过sign解密出原数据
/*** 公钥加密*/public static function encrypt($string,$type,$params=[]):string{try{$params['act'] = $params['act']??[];$publicKey = file_get_contents( app()->getRootPath() . "storage/resource/{$type}/public_key.pem");openssl_public_encrypt($string, $encrypted, $publicKey);$encrypted = base64_encode($encrypted);if(in_array('rawurlencode',$params['act'])){$encrypted = rawurlencode($encrypted);}return $encrypted;} catch (\Exception $e) {throw new \Exception($e->getMessage());}/*** 私钥解密*/public static function decrypt($string,$type,$params=[]):string{try{$params['act'] = $params['act']??[];$privateKeyContent = file_get_contents( app()->getRootPath() . "storage/resource/{$type}/private_key.pem");$privateKey = openssl_pkey_get_private([$privateKeyContent,$params['password'],]);if ($privateKey === false) {throw new \Exception('私钥加载失败:' . openssl_error_string());}// 4. 解密数据$string = base64_decode($string);if(in_array('rawurldecode',$params['act'])){$string = rawurldecode($string);}$decryptSuccess = openssl_private_decrypt($string, $decryptedData, $privateKey);if (!$decryptSuccess) {throw new \Exception('解密失败:' . openssl_error_string());}//释放内存openssl_free_key($privateKey);return $decryptedData;} catch (\Exception $e) {throw new \Exception($e->getMessage());}}
使用
1.第三方向本站发送数据,先将公钥同步给第三方。
2.第三方将 name=xiaozhao&age=20 用公钥直接加密成sign参数。
3.第三方将sign发送给我站。
4.我站用私钥将xxx重新解密成 name=xiaozhao&age=20。
4.原数据加密为sign状态下传输。
2.私钥加签,公钥验签
我方和接收方事先协商好加签规则,然后将原数据生成一个sign参数,接收方将一起带来的原数据跟sign参数对比,看是否一致。
/*** 私钥加签*/public static function sign($string, $type,$params=[]){try {$privateKeyContent = file_get_contents( app()->getRootPath() . "storage/resource/{$type}/private_key.pem");$privateKey = openssl_pkey_get_private([$privateKeyContent,$params['password'],]);if ($privateKey === false) {throw new \Exception('私钥加载失败:' . openssl_error_string());}// 4. 创建签名$signature = '';if (!openssl_sign($string, $signature, $privateKey, OPENSSL_ALGO_SHA256)) {throw new \Exception('签名创建失败: ' . openssl_error_string());}// 5. 返回Base64编码的签名return base64_encode($signature);} catch (\Exception $e) {throw new \Exception("签名过程中发生错误: " . $e->getMessage());}}/*** 公钥验签*/public static function verify($string, $type, $sign) {try {$publicKeyContent = file_get_contents(app()->getRootPath() . "storage/resource/{$type}/public_key.pem");// 关键修复:解析公钥为 OpenSSL 资源$publicKey = openssl_pkey_get_public($publicKeyContent);if ($publicKey === false) {throw new \Exception('公钥加载失败: ' . openssl_error_string());}// 清理签名数据$sign = base64_decode(trim(str_replace(["\r", "\n", " "], '', $sign)));$result = openssl_verify($string, $sign, $publicKey, OPENSSL_ALGO_SHA256);// 释放密钥资源openssl_free_key($publicKey);if ($result === -1) {throw new \Exception('参数无效或密钥格式错误: ' . openssl_error_string());}if ($result === 0) {throw new \Exception('验证失败');}return $result === 1;} catch (\Exception $e) {throw new \Exception("验签失败: " . $e->getMessage());}}
使用
密钥 MIGfMA0G 开头的是PKCS#1 格式,MIIBIjANBgkqh 开头的是PKCS#8 格式。PKCS#8格式提取公钥的时候要先用openssl_pkey_get_public提取
1.本站向第三方发送数据,先将公钥发给第三方。
2.我站将 name=xiaozhao&age=20用双方协商好的方式排序(如去掉空数据,再按键名排序等)后,用私钥生成签名sign。
3.我站将原数据和sign一起发送给我站。
3.第三方将原参数用双方协商好的方式排序后,和sign参数用公钥验签
4.原数据和sign同时传输传输。
)
)
)
)
)