Wątpię, czy twoje hasła użytkowników są zaszyfrowane (przynajmniej mam nadzieję, że nie), ponieważ oznacza to, że można je odszyfrować (co jest ZŁĄ praktyką bezpieczeństwa). Hasła użytkowników są zazwyczaj zaszyfrowane w sposób jednokierunkowy (na przykład przy użyciu password_hash )
Jednak z hasłem API masz prawdziwy przypadek do szyfrowania w sposób dwukierunkowy i nie hashowania. W takim przypadku PHP daje ci openssl_encrypt i openssl_decrypt funkcje
