接口测试中 Token 或签名科普贴-Postman 中应用实践

接口测试过程中,经常会遇到带token或签名等的请求,如何不让其影响自动化进行? 这里做个科普贴,不足请继续补充

[必读]首先了解下有关Token或签名的几个问题:

1、是什么?

2、干什么的,有什么用?

3、实现原理是什么?

4、Postman中怎么实现?

1、是什么?

Token Wiki解释: An object (in software or in hardware) which represents the right to perform some operation.

Token 百度解释:在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。

接口请求中的Token或签名,是一串加密后的字符串,作为请求体或请求头中的一个参数放在Request中。

2、有什么用?

请求中带Token或签名,无非就是在服务端验证当前请求是否合法,防止恶意请求或刷单等不良行为。

3、实现原理是什么?

简单理解如下:

请求发出方(Request),通过对特定的字符串进行加密,然后将加密后的字符串放在请求(Request)中,发送给服务端;

服务端收到该请求,同样对特定字符串进行加密,然后将加密后的结果,同request中传过来的参数进行比对,相等则返回正常的Response。

4、Postman中怎么实现?

4.1 待加密字符串的组成

这个一般是由请求双方协商好的规则,将请求中的一些参数拼装成一个特定的字符串,然后对特定字符串进行加密。

待加密字符串的组成可能包含Request Header 或 Body 中的一个或多个参数,或者是多次加密。

具体的规则要同自家的开发获取

4.2 待加密字符串的获取

Postman中如何获取Header、Body中的参数?

图二

图三

4.2.1 假设规则

待加密字符串:中的 + 请求方法 + 请求发送时间 + 。

将中的c参数作为,对其进行加密,并拼接到待加密字符串中,即上述。

规则:对上述待加密字符串进行加密,生成校验值,将放在的参数中。

4.2.2 如何获取参数:

下图四对应代码:

图四

下图五对应代码:

图五

PS

以上获取参数的方法有些可以在和中使用,有些只能在中使用,上述示例代码位置可详见截图。

详情参考Postman官方文档

4.3 加密代码怎么写:

4.4 写在哪里:

上述生成Token或签名的代码,一般要写在 中。

但随着接口增多,每个 中写那么多代码又很烦,怎么办呢?

可以将上述代码稍作调整,作为一个变量放在环境变量中,用eval()执行。

在 中只需要写一行代码就可以了

附录很重要:1、Postman支持哪些加密算法?

支持的加密算法:AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES

2、为什么支持这么多,怎么做到的?

因为Postman 引入了 CryptoJS 库,CryptoJS 支持以上多种加密算法,所以 Postman 也支持。

CryptoJS: standard and secure cryptographic algorithms. Supported algorithms: AES, DES, EvpKDF, HMAC-MD5, HMAC-SHA1/3/256/512, MD5, PBKDF2, Rabbit, SHA1/3/224/256/512, TripleDES

引自Postman官方文档

3、CryptoJS 支持这么多加密算法,怎么实现的?

各位自行深挖。。。

4、Postman支持的其它库

Lodash: JS utility library

cheerio: A fast, lean implementation of the core jQuery API (available in versions 4.6.0 and up)

tv4 JSON schema validator: Validates JSON objects against v4 of the json-schema draft

引自Postman官方文档

多看官方文档

最后,以上如有不正确望指正。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180608G08DSE00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券