一、为什么需要签名机制?
HTTPS(TLS)是确保数据传输安全,而大多数签名是为了确保调用方的操作是被“授权”的。
通过签名服务提供方可以确保自己的服务只能被自己授权的第三方(可以正确签名的)调用(这个操作同样有“不可抵赖”性,避免第三方不承认自己发起过某些操作),如果没有签名的保护,任何第三方甚至个人都可以发起这些操作,那以上的保护就都没有了。
二、作为测试人员,遇到签名机制,如何进行接口测试?
那么目前博主已知2种方式可以实现
第一种:使用跳过验证的方式
第一种是让开发人员对接口增加跳过验证签名和token、cookie的凭证,比如在请求url中增加test=1、debug=1 当接口传递这些信息的时候,则忽略token、cookie和签名的验证,直接可以访问。但是这种方式是不安全的,万一方式泄露则会被非法人员利用 一般情况下测试环境可以开放这种方式,生产环境不建议开放这种方式。
第二种:按照签名规则,生成对应的签名
目前常用的签名规则 是通过接口各种请求信息组合起来进行md5加密 例子: 接口的路径+当前时间戳+固定文案+用户登陆的uniqid 组合起来然后通过md5的方式进行加密
生成的md5 串,在接口请求的时候放进去就可以进行签名的验证了
