vendor/symfony/framework-bundle/Command/SecretsGenerateKeysCommand.php line 37

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Bundle\FrameworkBundle\Command;
  14. use Symfony\Bundle\FrameworkBundle\Secrets\AbstractVault;
  15. use Symfony\Component\Console\Command\Command;
  16. use Symfony\Component\Console\Input\InputInterface;
  17. use Symfony\Component\Console\Input\InputOption;
  18. use Symfony\Component\Console\Output\ConsoleOutputInterface;
  19. use Symfony\Component\Console\Output\OutputInterface;
  20. use Symfony\Component\Console\Style\SymfonyStyle;
  22. /**
  23.  * @author Tobias Schultze <http://tobion.de>
  24.  * @author Jérémy Derussé <jeremy@derusse.com>
  25.  * @author Nicolas Grekas <p@tchwork.com>
  26.  *
  27.  * @internal
  28.  */
  29. final class SecretsGenerateKeysCommand extends Command
  30. {
  31.     protected static $defaultName 'secrets:generate-keys';
  32.     protected static $defaultDescription 'Generate new encryption keys';
  34.     private $vault;
  35.     private $localVault;
  37.     public function __construct(AbstractVault $vaultAbstractVault $localVault null)
  38.     {
  39.         $this->vault $vault;
  40.         $this->localVault $localVault;
  42.         parent::__construct();
  43.     }
  45.     protected function configure()
  46.     {
  47.         $this
  48.             ->setDescription(self::$defaultDescription)
  49.             ->addOption('local''l'InputOption::VALUE_NONE'Update the local vault.')
  50.             ->addOption('rotate''r'InputOption::VALUE_NONE'Re-encrypt existing secrets with the newly generated keys.')
  51.             ->setHelp(<<<'EOF'
  52. The <info>%command.name%</info> command generates a new encryption key.
  54.     <info>%command.full_name%</info>
  56. If encryption keys already exist, the command must be called with
  57. the <info>--rotate</info> option in order to override those keys and re-encrypt
  58. existing secrets.
  60.     <info>%command.full_name% --rotate</info>
  61. EOF
  62.             )
  63.         ;
  64.     }
  66.     protected function execute(InputInterface $inputOutputInterface $output): int
  67.     {
  68.         $io = new SymfonyStyle($input$output instanceof ConsoleOutputInterface $output->getErrorOutput() : $output);
  69.         $vault $input->getOption('local') ? $this->localVault $this->vault;
  71.         if (null === $vault) {
  72.             $io->success('The local vault is disabled.');
  74.             return 1;
  75.         }
  77.         if (!$input->getOption('rotate')) {
  78.             if ($vault->generateKeys()) {
  79.                 $io->success($vault->getLastMessage());
  81.                 if ($this->vault === $vault) {
  82.                     $io->caution('DO NOT COMMIT THE DECRYPTION KEY FOR THE PROD ENVIRONMENT⚠️');
  83.                 }
  85.                 return 0;
  86.             }
  88.             $io->warning($vault->getLastMessage());
  90.             return 1;
  91.         }
  93.         $secrets = [];
  94.         foreach ($vault->list(true) as $name => $value) {
  95.             if (null === $value) {
  96.                 $io->error($vault->getLastMessage());
  98.                 return 1;
  99.             }
  101.             $secrets[$name] = $value;
  102.         }
  104.         if (!$vault->generateKeys(true)) {
  105.             $io->warning($vault->getLastMessage());
  107.             return 1;
  108.         }
  110.         $io->success($vault->getLastMessage());
  112.         if ($secrets) {
  113.             foreach ($secrets as $name => $value) {
  114.                 $vault->seal($name$value);
  115.             }
  117.             $io->comment('Existing secrets have been rotated to the new keys.');
  118.         }
  120.         if ($this->vault === $vault) {
  121.             $io->caution('DO NOT COMMIT THE DECRYPTION KEY FOR THE PROD ENVIRONMENT⚠️');
  122.         }
  124.         return 0;
  125.     }
  126. }