接口测试中 Token 或签名科普贴 | 您所在的位置:网站首页 › postman postman token › 接口测试中 Token 或签名科普贴 |
接口测试过程中,经常会遇到带 token 或签名等的请求,如何不让其影响自动化进行? 这里做个科普贴,不足请继续补充 1、是什么? 2、干什么的,有什么用? 3、实现原理是什么? 4、Postman 中怎么实现? 1、是什么?Token Wiki 解释: An object (in software or in hardware) which represents the right to perform some operation. Token 百度解释:在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。 接口请求中的 Token 或签名,是一串加密后的字符串,作为请求体或请求头中的一个参数放在 Request 中。 2、有什么用?请求中带 Token 或签名,无非就是在服务端验证当前请求是否合法,防止恶意请求或刷单等不良行为。 3、实现原理是什么?简单理解如下: 请求发出方(Request),通过对特定的字符串进行加密,然后将加密后的字符串放在请求(Request)中,发送给服务端; 服务端收到该请求,同样对特定字符串进行加密,然后将加密后的结果,同 request 中传过来的参数进行比对,相等则返回正常的 Response。 ********************************* 分 ************************* 割 ************************* 线 ********************************* 4、Postman 中怎么实现?4.1 待加密字符串的组成这个一般是由请求双方协商好的规则,将请求中的一些参数拼装成一个特定的字符串,然后对特定字符串进行加密。 待加密字符串的组成可能包含 Request Header 或 Body 中的一个或多个参数,或者是多次加密。 具体的规则要同自家的开发获取。 4.2 待加密字符串的获取Postman 中如何获取 Header、Body 中的参数? 在 Postman 中借 www.baidu.com 举例
待加密字符串:request headers中的user-agent + 请求方法 + 请求发送时间 + saltBase64。 将request Body中的 c 参数作为salt,对其进行Base64加密,并拼接到待加密字符串中,即上述saltBase64。 规则:对上述待加密字符串进行MD5加密,生成校验值signTest,将signTest放在request Body的sign参数中。 4.2.2 如何获取参数: //获取request中headers某个请求参数 request.headers["headersName"] //获取request中body某个请求参数 console.log("Request Body: " + request.data["a"]) //获取request方法 console.log("method: " + requesthod) //获取request的url console.log("url: " + request.url)下图四对应代码: console.log("Resquest Headers user-agent: " + request.headers["user-agent"]) console.log("Resquest Headers: " + request.headers["cache-control"])
下图五对应代码: //获取request headers中的 accept-encoding 信息 console.log("Resquest Headers accept-encoding: " + request.headers["accept-encoding"]) //获取request的全部cookie信息 console.log("Resquest Headers cookie: " + request.headers["cookie"]) //获取response headers中的 Date 信息 console.log("Response Headers Date: " + postman.getResponseHeader("Date")) //获取response中的Cookie 中某个key对应的value值 console.log("Cookie: " + postman.getResponseCookie("PSTM"))
PS: 以上获取参数的方法有些可以在 Pre-request Script 和 Tests 中使用,有些只能在 Tests 中使用,上述示例代码位置可详见截图。 详情参考 Postman官方文档 4.3 加密代码怎么写: //获取request headers中的user-agent var strUser = request.headers["user-agent"]; //获取request的请求方法 var strMethod = requesthod; //获取环境变量中的当前时间CurrentTime var strTime = globals.CurrentTime; //将请求Body中的参数c作为salt,并进行Base64加密 var salt = CryptoJS.enc.Utf8.parse(request.data["c"]); var strSalt = CryptoJS.enc.Base64.stringify(salt); //拼接字符串,并MD5加密 var strSign = strUser + strMethod + strTime + strSalt; var md5Str = CryptoJS.MD5(strSign).toString(); //将加密后的值signTest设置到环境变量 postman.setEnvironmentVariable("signTest", md5Str); 4.4 写在哪里:上述生成 Token 或签名的代码,一般要写在 Pre-request Script 中。 但随着接口增多,每个 Pre-request Script 中写那么多代码又很烦,怎么办呢? 可以将上述代码稍作调整,作为一个变量放在环境变量中,用 eval() 执行。 在 Pre-request Script 中只需要写一行代码就可以了 eval(globals.keyName); 附录很重要:1、Postman 支持哪些加密算法?支持的加密算法:AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES 2、为什么支持这么多,怎么做到的?因为 Postman 引入了 CryptoJS 库,CryptoJS 支持以上多种加密算法,所以 Postman 也支持。 CryptoJS: standard and secure cryptographic algorithms. Supported algorithms: AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES 引自 Postman官方文档 3、CryptoJS 支持这么多加密算法,怎么实现的?各位自行深挖。。。 4、Postman 支持的其它库Lodash: JS utility library cheerio: A fast, lean implementation of the core jQuery API (available in versions 4.6.0 and up) tv4 JSON schema validator: Validates JSON objects against v4 of the json-schema draft 引自 Postman官方文档 多看官方文档最后,以上如有不正确望指正。 |
CopyRight 2018-2019 实验室设备网 版权所有 |