python接口自动化 - 接口签名处理

前言：

服务端与客户端进行http通讯时，为了防止被爬虫，数据安全性等，传参数的时候，不会明文的传输，先对接口加密，返回的数据也加密返回。

常见的是：

• 引入 sign 签名
• 常见的加密方案有AES加密，RSA加密，MD5加密等。

由于引入签名sign请求头，我们在测APP接口的时候，不填签名数据的话，都会被服务端加密签名校验所拦截，这对我们测接口造成了极大的困扰。也就是说，没有处理好签名，就不能进行下一步。

鉴权失败：

请求加密：

响应加密：

解决方案：

• 让开发在测试环境关闭签名验证（一杯奶茶试试，但是基本开发也不会这样搞，测试环境关闭签名，有可能上线部署忘记打开签名，造成极大影响）；
• 通过抓包把请求的请求头和请求参数抓下来，通过postman或者jmeter测试（每次抓包，参数都是固定，但是签名随着请求参数变化而变化，每请求一次就就要抓包一次，也难搞。有时候页面没出来，包也抓不了）；
• 询问开发具体的加密过程，复写一套加密算法，自己生成加密数据（过程有可能比较复杂，但是如果你跟开发关系好就不复杂，或者你直接看开发代码，加密，解密算法自己整一套）；

但是大部分时候问题往往会往最困难的方向走

以下的 sign 签名处理的例子：

import hashlib
import base64
key = '12345678900'


class Sign:
    @classmethod
    def get_sign(cls, data):

        # 不改变传入的data=>直接对字典进行复制
        data = data.copy()
        # 首先判断字典是否空,为空直接加密
        if not data:
            string = ''
        else:
            # 非空字典,过滤value为空和嵌套字典、列表
            for k, v in list(data.items()):
                if isinstance(v,str):
                    v = v.replace(" ", "").replace("\n", "")
                    data[k] = v
                if v == ''or v is None or isinstance(v,(dict,list)):
                    data.pop(k)

            # 对字典进行ASCII码排序
            new_list = sorted(data.items())
            alist = ['&' + str(i[0]) + '=' + str(i[1]) for i in new_list]
            string = ''.join(alist)
        return {"X-Sign": cls.encry(string)}

    @classmethod
    def encry(cls, string):
        """
        加密算法
        :param string: 要加密的字符串
        :return: 字符串
        """
        if string:
            sign = string[1:] + '&key=' + key
        else:
            sign = 'key=' + key
        m = hashlib.md5()
        m.update(sign.encode("utf8"))
        encodeStr = m.hexdigest()
        base_code = base64.b64encode(encodeStr.encode('utf-8'))
        return base_code.decode()


if __name__ == '__main__':
    body = {"X-Sign": ""}
    sign_data = Sign.get_sign(body)
    print(sign_data)



# 结果
# {'X-Sign': 'OTg2ZmUxYmUwYWNlY2QyODYyOTNiNzA2NGMxYzUxZjE='}

api集成

你可以将生成加密数据做成一个api提供给小伙伴使用，传入待加密的请求报文，返回加密数据，其他同学复制粘贴加密数据到请求头，即可完成接口测试。

jmeter集成

因为jmeter里面的beanshell用的是Java语法，可以直接喊开发（Java后端或者Android开发）直接帮你打个jar包，直接调用即可（一杯奶茶就好了，不行就两杯。）

import com.xxx.xxxx.Sign;
String SamplerData=prev.getSamplerData();
String signData = Sign.getSign(SamplerData);
log.info("签名数据是"+signData);