(02)接口测试中 Token 或签名科普贴--Postman 中应用实践

转自: <https://testerhome.com/topics/14495>

[必读]首先了解下有关Token或签名的几个问题:

1、是什么?

2、干什么的,有什么用?

3、实现原理是什么?

4、Postman中怎么实现?

1、是什么?

Token Wiki解释: An object (in software or in hardware) which represents the right to perform some operation.

Token 百度解释:在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。

接口请求中的Token或签名,是一串加密后的字符串,作为请求体或请求头中的一个参数放在Request中。

2、有什么用?

请求中带Token或签名,无非就是在服务端验证当前请求是否合法,防止恶意请求或刷单等不良行为。

3、实现原理是什么?

简单理解如下:

请求发出方(Request),通过对特定的字符串进行加密,然后将加密后的字符串放在请求(Request)中,发送给服务端;

服务端收到该请求,同样对特定字符串进行加密,然后将加密后的结果,同request中传过来的参数进行比对,相等则返回正常的Response。

********************************* 分 ************************* 割 ************************* 线 *********************************

4、Postman中怎么实现?

4.1 待加密字符串的组成

这个一般是由请求双方协商好的规则,将请求中的一些参数拼装成一个特定的字符串,然后对特定字符串进行加密。

待加密字符串的组成可能包含Request Header 或 Body 中的一个或多个参数,或者是多次加密。

具体的规则要同自家的开发获取。

4.2 待加密字符串的获取

Postman中如何获取Header、Body中的参数?

在Postman中借www.baidu.com举例

[图片上传失败...(image-5d0706-1531041501075)]

图一

[图片上传失败...(image-4a6c43-1531041501075)]

图二

[图片上传失败...(image-bbf36a-1531041501075)]

图三

4.2.1 假设规则

待加密字符串:request headers中的user-agent + 请求方法 + 请求发送时间 + saltBase64。

将request Body中的c参数作为salt,对其进行Base64加密,并拼接到待加密字符串中,即上述saltBase64。

规则:对上述待加密字符串进行MD5加密,生成校验值signTest,将signTest放在request Body的sign参数中。

4.2.2 如何获取参数:

//获取request中headers某个请求参数
request.headers["headersName"]
//获取request中body某个请求参数
console.log("Request Body: " + request.data["a"])
//获取request方法
console.log("method: " + request.method)
//获取request的url
console.log("url: " + request.url)

下图四对应代码:

console.log("Resquest Headers user-agent: " + request.headers["user-agent"])
console.log("Resquest Headers: " + request.headers["cache-control"])

[图片上传失败...(image-96a3e8-1531041501075)]

图四

下图五对应代码:

//获取request headers中的 accept-encoding 信息
console.log("Resquest Headers accept-encoding: " + request.headers["accept-encoding"])
//获取request的全部cookie信息
console.log("Resquest Headers cookie: " + request.headers["cookie"])

//获取response headers中的 Date 信息
console.log("Response Headers Date: " + postman.getResponseHeader("Date"))
//获取response中的Cookie 中某个key对应的value值
console.log("Cookie: " + postman.getResponseCookie("PSTM"))

[图片上传失败...(image-712861-1531041501075)]

图五

PS:

以上获取参数的方法有些可以在 Pre-request Script 和 Tests 中使用,有些只能在 Tests 中使用,上述示例代码位置可详见截图。

详情参考Postman官方文档

4.3 加密代码怎么写:

//获取request headers中的user-agent
var strUser = request.headers["user-agent"];

//获取request的请求方法
var strMethod = request.method;

//获取环境变量中的当前时间CurrentTime
var strTime = globals.CurrentTime;

//将请求Body中的参数c作为salt,并进行Base64加密
var salt = CryptoJS.enc.Utf8.parse(request.data["c"]);
var strSalt = CryptoJS.enc.Base64.stringify(salt);

//拼接字符串,并MD5加密
var strSign = strUser + strMethod + strTime + strSalt;
var md5Str = CryptoJS.MD5(strSign).toString();

//将加密后的值signTest设置到环境变量
postman.setEnvironmentVariable("signTest", md5Str);

4.4 写在哪里:

上述生成Token或签名的代码,一般要写在 Pre-request Script 中。

但随着接口增多,每个 Pre-request Script 中写那么多代码又很烦,怎么办呢?

可以将上述代码稍作调整,作为一个变量放在环境变量中,用eval()执行。

在 Pre-request Script 中只需要写一行代码就可以了

eval(globals.keyName);

附录很重要:

1、Postman支持哪些加密算法?

支持的加密算法:AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES

2、为什么支持这么多,怎么做到的?

因为Postman 引入了 CryptoJS 库,CryptoJS 支持以上多种加密算法,所以 Postman 也支持。

CryptoJS: standard and secure cryptographic algorithms. Supported algorithms: AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES

引自Postman官方文档

3、CryptoJS 支持这么多加密算法,怎么实现的?

各位自行深挖。。。

4、Postman支持的其它库

Lodash: JS utility library

cheerio: A fast, lean implementation of the core jQuery API (available in versions 4.6.0 and up)

tv4 JSON schema validator: Validates JSON objects against v4 of the json-schema draft

引自Postman官方文档

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容