PHP如何配置Docker容器密钥

PHP应用启动时读不到.env密钥，主因是构建阶段未复制文件或运行时被覆盖；应避免明文提交密钥，推荐用env_file注入、预生成APP_KEY并确保权限正确，同时禁用日志输出敏感信息。

PHP应用启动时读不到 .env 里的密钥？先确认容器里有没有这个文件

绝大多数问题出在构建阶段没把密钥文件真正复制进镜像，或者运行时被覆盖。Docker 默认不自动挂载宿主机的 .env，PHP 应用（比如 Laravel、Symfony）调用 $_ENV 或 getenv() 读取的值，必须在容器内真实存在且可读。

实操建议：

• 别依赖 docker run -e KEY=xxx 传大量密钥——容易泄露、难管理、不支持换行或特殊字符
• 构建时用 COPY .env /var/www/.env 是最直接的方式，但必须确保 .gitignore 没忽略它，且该文件不提交到代码仓库（应改用模板 + 启动时生成）
• 更安全的做法：构建镜像时不含密钥，启动容器时用 docker run --env-file .env 或 docker-compose.yml 的 env_file: 字段注入
• 验证是否生效：进容器执行 printenv | grep KEY 或在 PHP 中写 var_dump($_ENV['APP_KEY'] ?? 'missing');

Laravel 的 APP_KEY 在 Docker 里总报 “No application encryption key has been specified”

这个错误不是密钥没传进去，而是 Laravel 在启动时发现 config/app.php 里的 'key' => env('APP_KEY') 返回了 null，且没有 fallback。关键点在于：Laravel 不会自动帮你生成密钥，也不检查环境变量是否存在。

实操建议：

• 不要在 Dockerfile 里用 php artisan key:generate —— 镜像构建是无状态的，每次重建都会覆盖旧 key，导致 session/cookie 失效
• 正确做法是在容器启动前生成一次，并写入环境变量：echo "APP_KEY=$(php -r 'echo base64_encode(random_bytes(32));')" >> .env
• 如果用 docker-compose.yml，可在 command: 里加前置检查：sh -c "php artisan key:generate --force 2>/dev/null || true && exec php-fpm"（仅限开发，生产环境应预生成）
• 注意权限：生成的 .env 文件在容器内需被 www-data 用户读取，否则 Laravel 会静默失败

PHP 用 openssl_encrypt() 报错 “Unknown cipher”？检查 OpenSSL 扩展和算法兼容性

Docker 官方 PHP 镜像默认启用 OpenSSL，但不同基础镜像（alpine vs debian）自带的 OpenSSL 版本差异大，某些算法如 aes-256-gcm 在 Alpine 3.16+ 才稳定支持。密钥本身没问题，错在“怎么用”。

实操建议：

• 先确认扩展已加载：php -m | grep openssl；若无输出，Alpine 需 apk add php82-openssl（版本号按实际调整）
• 避免硬编码算法名，改用 openssl_get_cipher_methods() 动态检查支持列表
• 生产环境慎用 gcm 模式——PHP 8.1+ 才完善支持 AEAD，低版本建议用 aes-256-cbc + openssl_random_pseudo_bytes() 生成 IV
• 密钥长度必须匹配算法：AES-256 要 32 字节，用 base64_decode() 后再传给 openssl_encrypt()，别直接传 base64 字符串

多容器部署时，Redis / DB 密码暴露在 docker-compose.yml 明文里怎么办

把密码写死在 environment: 或 env_file: 里，等于把密钥放进版本库。Docker Secret 只在 Swarm 模式下有效，普通 docker-compose up 不支持。得靠外部机制补位。

实操建议：

• 开发环境：用 docker-compose.override.yml 单独存敏感配置，并加入 .gitignore
• CI/CD 环境：用 CI 工具（GitHub Actions Secrets、GitLab CI Variables）注入，通过 --env-file <(echo "DB_PASSWORD=${DB_PASSWORD}") 方式动态生成临时文件
• 生产环境：用 HashiCorp Vault 或 AWS Secrets Manager，PHP 侧用 SDK 拉取，而不是从环境变量硬读——这样密钥生命周期可控，且可轮换
• 永远不要在 PHP 日志里 error_log($_ENV['DB_PASSWORD']) —— 即使本地开发也要养成过滤习惯

密钥管理真正的复杂点不在“怎么写进容器”，而在于“谁有权生成、谁有权读取、过期后怎么刷新”。Dockerfile 里一行 COPY 很快，但线上密钥泄漏一次，代价远不止重跑一遍 docker-compose down && up。