前言:
服务端与客户端进行http通讯时,为了防止被爬虫,数据安全性等,传参数的时候,不会明文的传输,先对接口加密,返回的数据也加密返回。
常见的是:
- 引入 sign 签名
- 常见的加密方案有AES加密,RSA加密,MD5加密等。
由于引入签名sign请求头,我们在测APP接口的时候,不填签名数据的话,都会被服务端加密签名校验所拦截,这对我们测接口造成了极大的困扰。也就是说,没有处理好签名,就不能进行下一步。
鉴权失败:
请求加密:
响应加密:
解决方案:
- 让开发在测试环境关闭签名验证(一杯奶茶试试,但是基本开发也不会这样搞,测试环境关闭签名,有可能上线部署忘记打开签名,造成极大影响);
- 通过抓包把请求的请求头和请求参数抓下来,通过postman或者jmeter测试(每次抓包,参数都是固定,但是签名随着请求参数变化而变化,每请求一次就就要抓包一次,也难搞。有时候页面没出来,包也抓不了);
- 询问开发具体的加密过程,复写一套加密算法,自己生成加密数据(过程有可能比较复杂,但是如果你跟开发关系好就不复杂,或者你直接看开发代码,加密,解密算法自己整一套);
但是大部分时候问题往往会往最困难的方向走
以下的 sign 签名处理的例子:
import hashlib
import base64
key = '12345678900'
class Sign:
@classmethod
def get_sign(cls, data):
# 不改变传入的data=>直接对字典进行复制
data = data.copy()
# 首先判断字典是否空,为空直接加密
if not data:
string = ''
else:
# 非空字典,过滤value为空和嵌套字典、列表
for k, v in list(data.items()):
if isinstance(v,str):
v = v.replace(" ", "").replace("\n", "")
data[k] = v
if v == ''or v is None or isinstance(v,(dict,list)):
data.pop(k)
# 对字典进行ASCII码排序
new_list = sorted(data.items())
alist = ['&' + str(i[0]) + '=' + str(i[1]) for i in new_list]
string = ''.join(alist)
return {"X-Sign": cls.encry(string)}
@classmethod
def encry(cls, string):
"""
加密算法
:param string: 要加密的字符串
:return: 字符串
"""
if string:
sign = string[1:] + '&key=' + key
else:
sign = 'key=' + key
m = hashlib.md5()
m.update(sign.encode("utf8"))
encodeStr = m.hexdigest()
base_code = base64.b64encode(encodeStr.encode('utf-8'))
return base_code.decode()
if __name__ == '__main__':
body = {"X-Sign": ""}
sign_data = Sign.get_sign(body)
print(sign_data)
# 结果
# {'X-Sign': 'OTg2ZmUxYmUwYWNlY2QyODYyOTNiNzA2NGMxYzUxZjE='}
api集成
你可以将生成加密数据做成一个api提供给小伙伴使用,传入待加密的请求报文,返回加密数据,其他同学复制粘贴加密数据到请求头,即可完成接口测试。
jmeter集成
因为jmeter里面的beanshell用的是Java语法,可以直接喊开发(Java后端或者Android开发)直接帮你打个jar包,直接调用即可(一杯奶茶就好了,不行就两杯。)
import com.xxx.xxxx.Sign;
String SamplerData=prev.getSamplerData();
String signData = Sign.getSign(SamplerData);
log.info("签名数据是"+signData);