Postman - 使用pre-request-script动态计算签名

十毛

发布于 2021-11-24 13:33:21

1.8K00

代码可运行

文章被收录于专栏：用户1337634的专栏用户1337634的专栏

运行总次数：0

代码可运行

OpenApi一般都有签名，在对接的时候，不管文档写得多么完善，总是会有人不明白，所以可以提供一个Postman的Collection，里面包含了签名逻辑

整体思路

每个对接方分配一对appKey和appSecret，其中appSecret不能泄露
每个请求需要appKey, timestamp以及signature
根据请求信息(method, url, body) + appSecret生成signature

请求样例

请求URL如下

https://www.tenmao.com/hello/world?app_key={{appKey}}&signtime={{timestamp}}&signature={{signature}}

ps: 因为历史原因，这里的签名信息放在URL里面，其实最好还是放在header

签名Pre-request-Script

let timestamp = new Date().getTime().toString();

//从环境变量读取appKey和appSecret
const appKey = pm.environment.get("appKey")
const appSecret = pm.environment.get("appSecret")
console.log(`基本信息: appKey=${appKey}, appSecret=${appSecret}, timestamp=${timestamp}`)
if (!appKey || !appSecret) {
    //如果不存在就直接抛出异常，这样就会弹出错误信息，同时不会再执行请求
    throw new Error("请先在环境变量中配置appKey和appSecret")
}

//计算签名 - 获取计算签名的数据
var method = request.method;

var canonicalUrl = pm.request.url.getPath();
var data = pm.request.body.raw;
if (!data) {
    data = "";
}

var message = method.toLowerCase() + "\n"
+ encodeURIComponent(canonicalUrl) + "\n"
+ data;

//计算签名 - 第一次摘要（针对时间戳）
var signKey = CryptoJS.HmacSHA1(timestamp, appSecret).toString(CryptoJS.enc.Hex);

console.log("timestamp:" + timestamp + ", appSecret:" + appSecret + ",signKey:" + signKey)

//计算签名 - 第二次摘要（计算最终签名）
var signature = CryptoJS.HmacSHA1(message, signKey).toString(CryptoJS.enc.Hex);
console.log(`签名信息: \nmessage=${message}\nsignKey=${signKey}\nsignature=${signature}`)

//签名信息设置到环境变量
pm.environment.set("timestamp", timestamp)
pm.environment.set("signature", signature)

script中关键点

环境变量: pm.environment.get("appKey"), pm.environment.set("timestamp", timestamp)
ES6引入的字符串格式化语法: appKey={appKey}, appSecret={appSecret}, timestamp=
异常提醒: throw new Error("请先在环境变量中配置appKey和appSecret")
签名计算: CryptoJS.HmacSHA1(timestamp, appSecret).toString(CryptoJS.enc.Hex)

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2021/9/10 下，如有侵权请联系 cloudcommunity@tencent.com 删除

unix