当前位置：首页 > news >正文

接口测试必备技能 - 加密和签名

news 2026/1/25 20:05:07

1、什么是加密以及解密？
加密：在网络上传输的原始数据（明文）经过加密后形成（密文）传输，防止被窃取。

解密：将加密还原成原始数据

2、加密方式分类？
对称式加密：对加密和解密使用的是同一个密钥

非对称式加密：非对称式加密需要两个密钥（双钥），分别叫公钥和秘钥，这两把秘钥可以互相加解密，公钥公开的，不需要保密，私钥是保密的。

01
加密方式详解

1、加对称密技术：
DES加密算法：加密安全性弱，一般应用于旧的系统里面
AES加密算法：一般用于前后端分离的接口加密
Base64加密算法：编码的方式

2、非对称加密技术（RSA加密算法）
RSA加密算法：最有影响力的加密算法

场景1：通过公钥加密
通过私钥解密
两个用户。A和B，B有双钥，A想要把一个数据报文通过加密的方式传给B。

① B把自己的公钥发送给A（公钥是公开的）

② A使用这个公钥把数据报文进行加密，加密完成传给B（加密后的密文通过网络传给B）

③ B使用自己的秘钥解密得到数据报文

场景2：私钥加密：数字签名
公钥解密：验证签名
数字证书由来：因为公钥是公开的不安全，所以需要第三方的CA（数字证书颁发机构）对公钥进行加密，加密后的东西就叫数字证书。数字证书包括：B用户基本信息以及B公钥的信息，部分证书也附有有效期。X509的标准
CA：双钥，通过私钥加密
验证签名：身份验证。

两个用户。A和B，B有双钥

① B把需要发送的数据报文通过私钥加密。

② B找到CA把自己的公钥做认证

③ CA就用自己的私钥对B的公钥和一些相关的信息一起加密，生成数字证书

④ CA就会把数字证书发给B

⑤ B将密文和数字证书都传给A

⑥ A用CA的公钥去解开数字证书，拿到B的公钥，在使用公钥解密密文，从而得到数据报文

Fiddler不能直接抓取https协议的数据报文，需要安装一个数字证书
https协议=http协议+SSL安全传输协议

SSL安全传输协议：安全套接层。

NetScape（B）研发，Fiddler（A），CA把数字证书发到网上，数字证书生成器。

3、MD5（完全不考虑解密，也叫做哈希算法，散列算法）
Postman举例：在Tests中

//获得当前时间戳

new times = new Date().getTime()

//使用MD5加密

var miwen =

CryptoJS.MD5(“admin”).toString().toUpperCase()

Jmeter

函数助手：__digest

${__digest(MD5.admin,)}

02
接口签名

1、什么是接口签名？
使用用户名，密码，时间戳和所有的排序过的参数组合起来，再加密得到的字符串，字符串是唯一的有权访问第三方金融接口的鉴权码=sign接口签名。

2、为什么要做接口签名？
防伪装攻击
防篡改攻击
防存放攻击
防数据泄漏

3、如何做接口签名，了解签名的规则：
对所有的请求的参数按key按ASCII码做升序排列。

{“c”:“3”,“b”:“2”,“a”:“1”}

{“1”:“1”,“b”:“2”,“c”:“3”}

把参数名和参数值连接成字符串：

a=1&b=2&c=3

用申请到的appid和appsecret连接到字符串的头部

appid:用户名

appsecret：密码

appid=admin&appsecret=123&a=1&b=2&c=3

appid=admin&appsecret=123&a=1&b=2&c=3&timestamp=124124252

然后再把这个字符串安装32位的MD5加密，加密后再转换成大写。

sign=E48B34F95AE8001C99CB86A612538C04

10秒有效。

jmeter实现并且分装成函数的话：自定义函数 jave python

4、postman实现并且封装成函数：JavaScript
Pre-request-Script

//url=https://aaa/sss?com=aaa&nu=hhh&phone=jjjjj&show_appid=jj&showapi_timestamp={{time}}&showapi_sign={{sign}}
var moment = require(‘moment’)//获取时间戳

console.log(request.url);//获取请求信息

var url = request.url;

var param = url.split(“?”)[1]//取到url的？后面的值，按照？分割，取前面就是0

if(param != null)

{

{
var time = moment().format(“YYYYMMDDHHmmss”)//取当天时间按照YYYYMMDDHHmmss形式显示
pm.environment.set(“time”,time);//postman 自带的全局变量

param+="&showapi_timestamp="+time;
param+="&showapi_sign=122344556";var param = param.split("&") ;//分割变成一个list
param.sort();//按照要求的方式进行排序a-z
var keys = new Array(param.length);
var values = new Array(param.length);
for(var i=0;i<param.length;i++)
{keys[i]=param[i].split("=")[0]//取=前面的值values[i]=param[i].split("=")[1]//取=后面的值
}
var str=[]
for(var p=0;p<keys.length;p++)//如果发现keys需要sign，就不参与验签
{if (keys[p]=="showapi_sign"||values[p]=="{{time}}"){continue;}str.push(keys[p]+value[p]);
}
var sign = str.join("")
sign = sign+"sssss"；//加密钥
pm.environment.set("sign",CryptoJs.MD5(sign).toString());//postman 自带的全局变量}

接口测试必备技能 - 加密和签名

相关文章：

接口测试必备技能 - 加密和签名

JVM虚拟机概述（1）

学习.NET MAUI Blazor（七）、实现一个真正的ChatGPT聊天应用

Django框架学习

JavaSE21-集合1-set

Web版和客户端哪种SQL工具更好？ChatGPT有话要说

从客户端的角度来看移动端IM即时通讯的消息可靠性和送达机制

2023年java春招面试题及答案

Django学习——基础篇（上）

研报精选230302

Unity心得

TryHackMe-Binex

外贸人如何写出优秀的开发信？附详细思路

python自学之《21天学通Python》(18)——第21章案例2 Python搞定大数据

面试问题【数据库】

Allegro如何输出钻孔表操作指导

消息队列面试题整理

【Java】对象比较大小

发票自动OCR识别并录入模板 3分钟免费配置

Dubbo 配置说明

Docker 离线安装指南

日语AI面试高效通关秘籍：专业解读与青柚面试智能助攻

iOS 26 携众系统重磅更新，但“苹果智能”仍与国行无缘

基于FPGA的PID算法学习———实现PID比例控制算法

【入坑系列】TiDB 强制索引在不同库下不生效问题

基于服务器使用 apt 安装、配置 Nginx

linux arm系统烧录

ESP32 I2S音频总线学习笔记（四）： INMP441采集音频并实时播放

Ascend NPU上适配Step-Audio模型

让回归模型不再被异常值“带跑偏“，MSE和Cauchy损失函数在噪声数据环境下的实战对比