PHP与Java之间AES/GCM/128加密互通解密指南

1. 问题背景与挑战

在php和java等不同编程语言之间实现aes/gcm/128加密数据的互通解密，常见挑战在于对加密参数（如密钥、iv、认证标签）的理解和处理方式不一致。原始的java解密尝试在处理由php加密的数据时，抛出了javax.crypto.aeadbadtagexception: tag mismatch!异常。这通常意味着解密过程中，认证标签未能成功验证，可能是由于密钥、iv、密文或认证标签本身在传输或解析时出现错误。

导致此问题的主要原因通常包括：

• 密钥派生不一致： PHP直接将十六进制字符串密钥转换为二进制使用，而Java可能错误地尝试通过PBKDF2等方式派生密钥。
• IV和认证标签的结构： PHP在加密后，将IV、密文和认证标签以特定的顺序（通常是IV | 密文 | 标签）拼接，并进行Base64编码。Java需要准确地反向解析此结构。
• GCM参数设置： GCM模式需要指定认证标签的长度（通常为128位，即16字节）。

2. PHP加密机制分析

首先，我们分析PHP的aes_gcm_encrypt函数，以理解其加密流程和输出格式：

从上述PHP代码中，我们可以得出以下关键信息：

• 算法： aes-128-gcm，即AES-128位GCM模式，无填充。
• 密钥： $secret是一个十六进制字符串，PHP通过hex2bin直接将其转换为16字节的二进制密钥使用。
• IV长度： 12字节。
• 认证标签长度： 16字节（GCM模式默认）。
• 输出格式： 最终的Base64编码字符串实际上代表了 IV_二进制 | 密文_二进制 | 标签_二进制 的拼接结果。这是因为PHP先将IV、密文、标签转换为各自的十六进制表示，再拼接成一个大的十六进制字符串，最后通过hex2bin将其还原为原始的二进制字节流，并进行Base64编码。

3. Java解密实现

基于对PHP加密机制的理解，我们构建了以下正确的Java解密代码。该代码能够准确解析PHP的加密输出，并成功解密。

剪映专业版

一款全能易用的桌面端剪辑软件

下载

立即学习“PHP免费学习笔记（深入）”；

import java.nio.charset.StandardCharsets;
import java.util.Base64;
import javax.crypto.*;
import javax.crypto.spec.*;

public class AesGcmPhpJavaInterop {

    public static final String ALGO = "AES";
    public static final String GCM_ALGO = "AES/GCM/NoPadding";
    public static final int IV_LENGTH = 12; // PHP openssl_cipher_iv_length('aes-128-gcm') 结果是 12
    public static final int GCM_TAG_LENGTH_BITS = 128; // GCM认证标签长度，128位 = 16字节

    public static void main(String[] args) throws Exception {
        // PHP加密输出的示例数据
        String secret = "544553544B4559313233343536"; // PHP使用的十六进制密钥
        String encryptStr = "Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ=="; // PHP加密后的Base64字符串

        // 格式化密钥以匹配PHP的16字节二进制密钥
        secret = reformatSecret(secret);
        String decryptStr = decrypt(encryptStr, secret);

        System.out.println("加密字符串: " + encryptStr);
        System.out.println("解密密钥: " + secret);
        System.out.println("解密结果: " + decryptStr);
    }

    /**
     * 解密由PHP AES/GCM/128加密的数据
     * @param data Base64编码的加密字符串
     * @param secret 十六进制格式的密钥
     * @return 解密后的明文字符串
     * @throws Exception 解密过程中可能抛出的异常
     */
    private static String decrypt(String data, String secret) throws Exception {
        // 1. Base64解码：获取原始的二进制字节流 (IV_BIN | CT_BIN | TAG_BIN)
        final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes(StandardCharsets.UTF_8));

        // 2. 提取IV：前12字节为IV
        final byte[] initializationVector = new byte[IV_LENGTH];
        System.arraycopy(encryptedBytes, 0, initializationVector, 0, IV_LENGTH);

        // 3. 准备密钥：将十六进制密钥字符串转换为字节数组
        final byte[] key = parseHexStr2Byte(secret);
        SecretKeySpec secretKeySpec = new SecretKeySpec(key, ALGO);

        // 4. 设置GCM参数：指定认证标签长度和IV
        GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(GCM_TAG_LENGTH_BITS, initializationVector);

        // 5. 初始化Cipher进行解密
        Cipher cipher = Cipher.getInstance(GCM_ALGO);
        cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec);

        // 6. 执行解密：从IV之后开始解密，GCM模式会自动从传入的密文数据中提取并验证标签
        // encryptedBytes.length - IV_LENGTH 表示密文和标签的总长度
        byte[] decryptedBytes = cipher.doFinal(encryptedBytes, IV_LENGTH, encryptedBytes.length - IV_LENGTH);

        // 7. 将解密后的字节数组转换为字符串
        return new String(decryptedBytes, StandardCharsets.UTF_8);
    }

    /**
     * 格式化密钥字符串，确保其为32个十六进制字符（16字节）
     * 如果密钥不足32字符，则在末尾填充'0'；如果超过32字符，则截取前32字符。
     * PHP的AES-128需要16字节密钥，即32个十六进制字符。
     * @param secret 原始十六进制密钥字符串
     * @return 格式化后的十六进制密钥字符串
     */
    public static String reformatSecret(String secret) {
        if (secret == null || secret.length() < 1) {
            return "";
        }
        int secretLen = secret.length();
        if (secretLen < 32) {
            StringBuilder str = new StringBuilder(secret);
            while (secretLen < 32) {
                str.append("0"); // 填充'0'
                secretLen = str.length();
            }
            return str.toString();
        } else {
            return secret.substring(0, 32); // 截取前32字符
        }
    }

    /**
     * 将十六进制字符串转换为字节数组
     * @param hexStr 十六进制字符串
     * @return 对应的字节数组
     */
    public static byte[] parseHexStr2Byte(String hexStr) {
        int len = hexStr.length();
        byte[] data = new byte[len / 2];
        for (int i = 0; i < len; i += 2) {
            data[i / 2] = (byte) ((Character.digit(hexStr.charAt(i), 16) << 4) + Character.digit(hexStr.charAt(i+1), 16));
        }
        return data;
    }
}

4. 注意事项与最佳实践

1. 密钥处理： 确保Java端密钥的生成或解析方式与PHP完全一致。本例中，PHP直接将十六进制字符串作为密钥的二进制表示。Java通过reformatSecret确保密钥长度为16字节，并通过parseHexStr2Byte将其转换为字节数组。切勿在Java端随意使用PBKDF2等密钥派生函数，除非PHP端也明确使用了相同的派生方式。
2. IV和认证标签的提取： PHP的输出格式是Base64(hex2bin(IV_HEX | CT_HEX | TAG_HEX))。Java在Base64解码后，会得到一个原始的字节数组，其结构为IV_BIN | CT_BIN | TAG_BIN。
   • IV总是位于最开始的12字节。
   • GCM模式的认证标签长度通常为16字节（128位）。Java的GCMParameterSpec(128, initializationVector)会告知Cipher期望的标签长度。
   • 在调用cipher.doFinal()时，我们传入encryptedBytes中从IV之后开始的部分（即CT_BIN | TAG_BIN），Java的GCM Cipher会自动从这部分数据的末尾提取并验证认证标签。
3. 字符编码： 在PHP和Java之间传递字符串时，始终指定统一的字符编码，如UTF-8，以避免乱码问题。本例中，Java使用了StandardCharsets.UTF_8。
4. 异常处理： AEADBadTagException是GCM模式中非常常见的异常，它明确指出认证标签验证失败。这意味着解密过程中密钥、IV、密文或标签的任何一个环节出现不匹配，都会导致此异常。排查时应逐一检查这些参数。
5. 安全性： IV必须是随机且唯一的，但不需要保密。密钥必须严格保密。GCM模式提供了数据机密性（加密）和数据完整性与认证（通过标签）。

5. 总结

实现跨语言的加密互通，核心在于对加密算法、模式、密钥、IV和认证标签的精确理解和一致处理。本教程通过详细分析PHP的AES/GCM/128加密流程，并提供了一个经过验证的Java解密实现，解决了常见的AEADBadTagException问题。遵循文中给出的密钥处理、IV/标签提取以及GCM参数设置方法，可以确保PHP与Java之间AES/GCM加密数据的可靠互通。