接口测试 接口测试中 Token 或签名科普贴--Postman 中应用实践

小背影 · 2018年06月05日 · 最后由 leayn 回复于 2018年11月27日 · 6428 次阅读
本帖已被设为精华帖!

接口测试过程中,经常会遇到带 token 或签名等的请求,如何不让其影响自动化进行? 这里做个科普贴,不足请继续补充😀

[必读]首先了解下有关 Token 或签名的几个问题:

1、是什么?
2、干什么的,有什么用?
3、实现原理是什么?
4、Postman 中怎么实现?

1、是什么?

Token Wiki 解释: An object (in software or in hardware) which represents the right to perform some operation.
Token 百度解释:在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。

接口请求中的 Token 或签名,是一串加密后的字符串,作为请求体或请求头中的一个参数放在 Request 中。

2、有什么用?

请求中带 Token 或签名,无非就是在服务端验证当前请求是否合法,防止恶意请求或刷单等不良行为。

3、实现原理是什么?

简单理解如下:
请求发出方(Request),通过对特定的字符串进行加密,然后将加密后的字符串放在请求(Request)中,发送给服务端;
服务端收到该请求,同样对特定字符串进行加密,然后将加密后的结果,同 request 中传过来的参数进行比对,相等则返回正常的 Response。

********************************* ************************* ************************* 线 *********************************

4、Postman 中怎么实现?

4.1 待加密字符串的组成

这个一般是由请求双方协商好的规则,将请求中的一些参数拼装成一个特定的字符串,然后对特定字符串进行加密。
待加密字符串的组成可能包含 Request Header 或 Body 中的一个或多个参数,或者是多次加密。

具体的规则要同自家的开发获取

4.2 待加密字符串的获取

Postman 中如何获取 Header、Body 中的参数?

在 Postman 中借 www.baidu.com 举例

图一


图二


图三

4.2.1 假设规则

待加密字符串request headers中的user-agent + 请求方法 + 请求发送时间 + saltBase64
request Body中的 c 参数作为salt,对其进行Base64加密,并拼接到待加密字符串中,即上述saltBase64
规则:对上述待加密字符串进行MD5加密,生成校验值signTest,将signTest放在request Bodysign参数中。

4.2.2 如何获取参数:
//获取request中headers某个请求参数
request.headers["headersName"]
//获取request中body某个请求参数
console.log("Request Body: " + request.data["a"])
//获取request方法
console.log("method: " + request.method)
//获取request的url
console.log("url: " + request.url)

下图四对应代码:

console.log("Resquest Headers user-agent: " + request.headers["user-agent"])
console.log("Resquest Headers: " + request.headers["cache-control"])


图四

下图五对应代码:

//获取request headers中的 accept-encoding 信息
console.log("Resquest Headers accept-encoding: " + request.headers["accept-encoding"])
//获取request的全部cookie信息
console.log("Resquest Headers cookie: " + request.headers["cookie"])

//获取response headers中的 Date 信息
console.log("Response Headers Date: " + postman.getResponseHeader("Date"))
//获取response中的Cookie 中某个key对应的value值
console.log("Cookie: " + postman.getResponseCookie("PSTM"))


图五

PS
以上获取参数的方法有些可以在 Pre-request ScriptTests 中使用,有些只能在 Tests 中使用,上述示例代码位置可详见截图。

详情参考 Postman官方文档

4.3 加密代码怎么写:

//获取request headers中的user-agent
var strUser = request.headers["user-agent"];

//获取request的请求方法
var strMethod = request.method;

//获取环境变量中的当前时间CurrentTime
var strTime = globals.CurrentTime;

//将请求Body中的参数c作为salt,并进行Base64加密
var salt = CryptoJS.enc.Utf8.parse(request.data["c"]);
var strSalt = CryptoJS.enc.Base64.stringify(salt);

//拼接字符串,并MD5加密
var strSign = strUser + strMethod + strTime + strSalt;
var md5Str = CryptoJS.MD5(strSign).toString();

//将加密后的值signTest设置到环境变量
postman.setEnvironmentVariable("signTest", md5Str);

4.4 写在哪里:

上述生成 Token 或签名的代码,一般要写在 Pre-request Script 中。

但随着接口增多,每个 Pre-request Script 中写那么多代码又很烦,怎么办呢?
可以将上述代码稍作调整,作为一个变量放在环境变量中,用 eval() 执行。
Pre-request Script 中只需要写一行代码就可以了

eval(globals.keyName);

附录很重要:

1、Postman 支持哪些加密算法?

支持的加密算法:AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES

2、为什么支持这么多,怎么做到的?

因为 Postman 引入了 CryptoJS 库,CryptoJS 支持以上多种加密算法,所以 Postman 也支持。

CryptoJS: standard and secure cryptographic algorithms. Supported algorithms: AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES
引自 Postman官方文档

3、CryptoJS 支持这么多加密算法,怎么实现的?

各位自行深挖。。。

4、Postman 支持的其它库

Lodash: JS utility library
cheerio: A fast, lean implementation of the core jQuery API (available in versions 4.6.0 and up)
tv4 JSON schema validator: Validates JSON objects against v4 of the json-schema draft
引自 Postman官方文档

多看官方文档

最后,以上如有不正确望指正。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
共收到 7 条回复 时间 点赞
恒温 将本帖设为了精华贴 06月07日 08:41

科普加精,帮楼主去掉了微信宣传二维码。

恒温 回复

😂 在论坛讨论一样一样的

雨夜狂奔 在 postman 中使用 rsa 加密 中提及了此贴 06月29日 12:35
仅楼主可见
7楼 已删除

参考了https://testerhome.com/topics/14400 的例子;但是没有按照本帖中 4.4 写在哪里, 将计算加密串的的代码直接填写进 postman 环境变量,而是写在了第一个执行脚本的Pre-request Scrip 里;
如下

var sign=`
keys = Object.keys(request.data).sort() //请求参数名按照ASCII码升序排序

//拼接待签名字符串
var str = []
for (var p = 0; p < keys.length; p++) { 
    if(keys[p] == "sign" || request.data[keys[p]] === ""){ // "==" ==宽松相等,隐性类型转换,值相等,返回true; "===" 严格相等,值和类型都相等,返回true
        continue;
    }
    str.push(keys[p] + "=" + request.data[keys[p]]);
}
// str.push('key=' + pm.globals.get("key"))  //没设置秘钥,注释掉
// console.log(pm.globals.get("key"))

var sign = str.join("&")  

//MD5加密签名规格,并赋值给环境变量sign
pm.environment.unset("sign");
pm.environment.set("sign", CryptoJS.MD5(sign).toString());
`
pm.environment.set("cal_sign", sign);
eval(environment.cal_sign);

设置的是局部变量;
现在的问题是: 脚本第一次执行时{{sign}}取不到值, 什么都不动,第二次执行 (此时有 cal_sign 环境变量),{{sign}}会有值;按照执行顺序来看,应该是 进行cal_sign设置->执行cal_sign代码,完成 {{sign}}计算->使用{{sign}}发出请求,但是第一次执行就是不成,看来只能使用直接设置cal_sign的方式

simple 专栏文章:[精华帖] 社区历年精华帖分类归总 中提及了此贴 12月13日 14:44
simple [精彩盘点] TesterHome 社区 2018 年 度精华帖 中提及了此贴 01月07日 12:08
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册