vendor/symfony/framework-bundle/Secrets/SodiumVault.php line 33

  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Bundle\FrameworkBundle\Secrets;
  14. use Symfony\Component\DependencyInjection\EnvVarLoaderInterface;
  15. use Symfony\Component\VarExporter\VarExporter;
  17. /**
  18.  * @author Tobias Schultze <http://tobion.de>
  19.  * @author Jérémy Derussé <jeremy@derusse.com>
  20.  * @author Nicolas Grekas <p@tchwork.com>
  21.  */
  22. class SodiumVault extends AbstractVault implements EnvVarLoaderInterface
  23. {
  24.     private ?string $encryptionKey null;
  25.     private string|\Stringable|null $decryptionKey null;
  26.     private string $pathPrefix;
  27.     private ?string $secretsDir;
  29.     /**
  30.      * @param $decryptionKey A string or a stringable object that defines the private key to use to decrypt the vault
  31.      *                       or null to store generated keys in the provided $secretsDir
  32.      */
  33.     public function __construct(string $secretsDir, #[\SensitiveParameterstring|\Stringable $decryptionKey null)
  34.     {
  35.         $this->pathPrefix rtrim(strtr($secretsDir'/'\DIRECTORY_SEPARATOR), \DIRECTORY_SEPARATOR).\DIRECTORY_SEPARATOR.basename($secretsDir).'.';
  36.         $this->decryptionKey $decryptionKey;
  37.         $this->secretsDir $secretsDir;
  38.     }
  40.     public function generateKeys(bool $override false): bool
  41.     {
  42.         $this->lastMessage null;
  44.         if (null === $this->encryptionKey && '' !== $this->decryptionKey = (string) $this->decryptionKey) {
  45.             $this->lastMessage 'Cannot generate keys when a decryption key has been provided while instantiating the vault.';
  47.             return false;
  48.         }
  50.         try {
  51.             $this->loadKeys();
  52.         } catch (\RuntimeException) {
  53.             // ignore failures to load keys
  54.         }
  56.         if ('' !== $this->decryptionKey && !is_file($this->pathPrefix.'encrypt.public.php')) {
  57.             $this->export('encrypt.public'$this->encryptionKey);
  58.         }
  60.         if (!$override && null !== $this->encryptionKey) {
  61.             $this->lastMessage sprintf('Sodium keys already exist at "%s*.{public,private}" and won\'t be overridden.'$this->getPrettyPath($this->pathPrefix));
  63.             return false;
  64.         }
  66.         $this->decryptionKey sodium_crypto_box_keypair();
  67.         $this->encryptionKey sodium_crypto_box_publickey($this->decryptionKey);
  69.         $this->export('encrypt.public'$this->encryptionKey);
  70.         $this->export('decrypt.private'$this->decryptionKey);
  72.         $this->lastMessage sprintf('Sodium keys have been generated at "%s*.public/private.php".'$this->getPrettyPath($this->pathPrefix));
  74.         return true;
  75.     }
  77.     public function seal(string $namestring $value): void
  78.     {
  79.         $this->lastMessage null;
  80.         $this->validateName($name);
  81.         $this->loadKeys();
  82.         $filename $this->getFilename($name);
  83.         $this->export($filenamesodium_crypto_box_seal($value$this->encryptionKey ?? sodium_crypto_box_publickey($this->decryptionKey)));
  85.         $list $this->list();
  86.         $list[$name] = null;
  87.         uksort($list'strnatcmp');
  88.         file_put_contents($this->pathPrefix.'list.php'sprintf("<?php\n\nreturn %s;\n"VarExporter::export($list)), \LOCK_EX);
  90.         $this->lastMessage sprintf('Secret "%s" encrypted in "%s"; you can commit it.'$name$this->getPrettyPath(\dirname($this->pathPrefix).\DIRECTORY_SEPARATOR));
  91.     }
  93.     public function reveal(string $name): ?string
  94.     {
  95.         $this->lastMessage null;
  96.         $this->validateName($name);
  98.         $filename $this->getFilename($name);
  99.         if (!is_file($file $this->pathPrefix.$filename.'.php')) {
  100.             $this->lastMessage sprintf('Secret "%s" not found in "%s".'$name$this->getPrettyPath(\dirname($this->pathPrefix).\DIRECTORY_SEPARATOR));
  102.             return null;
  103.         }
  105.         if (!\function_exists('sodium_crypto_box_seal')) {
  106.             $this->lastMessage sprintf('Secret "%s" cannot be revealed as the "sodium" PHP extension missing. Try running "composer require paragonie/sodium_compat" if you cannot enable the extension."'$name);
  108.             return null;
  109.         }
  111.         $this->loadKeys();
  113.         if ('' === $this->decryptionKey) {
  114.             $this->lastMessage sprintf('Secret "%s" cannot be revealed as no decryption key was found in "%s".'$name$this->getPrettyPath(\dirname($this->pathPrefix).\DIRECTORY_SEPARATOR));
  116.             return null;
  117.         }
  119.         if (false === $value sodium_crypto_box_seal_open(include $file$this->decryptionKey)) {
  120.             $this->lastMessage sprintf('Secret "%s" cannot be revealed as the wrong decryption key was provided for "%s".'$name$this->getPrettyPath(\dirname($this->pathPrefix).\DIRECTORY_SEPARATOR));
  122.             return null;
  123.         }
  125.         return $value;
  126.     }
  128.     public function remove(string $name): bool
  129.     {
  130.         $this->lastMessage null;
  131.         $this->validateName($name);
  133.         $filename $this->getFilename($name);
  134.         if (!is_file($file $this->pathPrefix.$filename.'.php')) {
  135.             $this->lastMessage sprintf('Secret "%s" not found in "%s".'$name$this->getPrettyPath(\dirname($this->pathPrefix).\DIRECTORY_SEPARATOR));
  137.             return false;
  138.         }
  140.         $list $this->list();
  141.         unset($list[$name]);
  142.         file_put_contents($this->pathPrefix.'list.php'sprintf("<?php\n\nreturn %s;\n"VarExporter::export($list)), \LOCK_EX);
  144.         $this->lastMessage sprintf('Secret "%s" removed from "%s".'$name$this->getPrettyPath(\dirname($this->pathPrefix).\DIRECTORY_SEPARATOR));
  146.         return @unlink($file) || !file_exists($file);
  147.     }
  149.     public function list(bool $reveal false): array
  150.     {
  151.         $this->lastMessage null;
  153.         if (!is_file($file $this->pathPrefix.'list.php')) {
  154.             return [];
  155.         }
  157.         $secrets = include $file;
  159.         if (!$reveal) {
  160.             return $secrets;
  161.         }
  163.         foreach ($secrets as $name => $value) {
  164.             $secrets[$name] = $this->reveal($name);
  165.         }
  167.         return $secrets;
  168.     }
  170.     public function loadEnvVars(): array
  171.     {
  172.         return $this->list(true);
  173.     }
  175.     private function loadKeys(): void
  176.     {
  177.         if (!\function_exists('sodium_crypto_box_seal')) {
  178.             throw new \LogicException('The "sodium" PHP extension is required to deal with secrets. Alternatively, try running "composer require paragonie/sodium_compat" if you cannot enable the extension.".');
  179.         }
  181.         if (null !== $this->encryptionKey || '' !== $this->decryptionKey = (string) $this->decryptionKey) {
  182.             return;
  183.         }
  185.         if (is_file($this->pathPrefix.'decrypt.private.php')) {
  186.             $this->decryptionKey = (string) include $this->pathPrefix.'decrypt.private.php';
  187.         }
  189.         if (is_file($this->pathPrefix.'encrypt.public.php')) {
  190.             $this->encryptionKey = (string) include $this->pathPrefix.'encrypt.public.php';
  191.         } elseif ('' !== $this->decryptionKey) {
  192.             $this->encryptionKey sodium_crypto_box_publickey($this->decryptionKey);
  193.         } else {
  194.             throw new \RuntimeException(sprintf('Encryption key not found in "%s".'\dirname($this->pathPrefix)));
  195.         }
  196.     }
  198.     private function export(string $filenamestring $data): void
  199.     {
  200.         $b64 'decrypt.private' === $filename '// SYMFONY_DECRYPTION_SECRET='.base64_encode($data)."\n" '';
  201.         $name basename($this->pathPrefix.$filename);
  202.         $data str_replace('%''\x'rawurlencode($data));
  203.         $data sprintf("<?php // %s on %s\n\n%sreturn \"%s\";\n"$namedate('r'), $b64$data);
  205.         $this->createSecretsDir();
  207.         if (false === file_put_contents($this->pathPrefix.$filename.'.php'$data\LOCK_EX)) {
  208.             $e error_get_last();
  209.             throw new \ErrorException($e['message'] ?? 'Failed to write secrets data.'0$e['type'] ?? \E_USER_WARNING);
  210.         }
  211.     }
  213.     private function createSecretsDir(): void
  214.     {
  215.         if ($this->secretsDir && !is_dir($this->secretsDir) && !@mkdir($this->secretsDir0777true) && !is_dir($this->secretsDir)) {
  216.             throw new \RuntimeException(sprintf('Unable to create the secrets directory (%s).'$this->secretsDir));
  217.         }
  219.         $this->secretsDir null;
  220.     }
  222.     private function getFilename(string $name): string
  223.     {
  224.         // The MD5 hash allows making secrets case-sensitive. The filename is not enough on Windows.
  225.         return $name.'.'.substr(md5($name), 06);
  226.     }
  227. }