web接口测试之用户认证和数字签名

最新推荐文章于 2025-06-23 21:00:00 发布
最新推荐文章于 2025-06-23 21:00:00 发布
阅读量4.6k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 接口测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JOJOY_tester/article/details/70769017
本文介绍了用户认证和数字签名的基本概念及测试方法。重点讨论了如何使用Requests库进行用户认证,以及数字签名中MD5加密的具体实现。此外,还列举了一些常见的测试用例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用户认证

在我们测试 web 接口时,不管所用的工具还是Requests 库都提供的 Auth 的选项,这个选项同样需要填写username 和 password,但这里 Auth 的用户名和密码与系统登录的用户名密码有区别,因为Auth不是作为GET/POST请求的参数发送的,在requests库里面是一个控制参数,是一个元组类型。

例子:

r = requests.get(url,auth=('username','password'), params={'id':'111'})
result= r.json()

用户认证测试还是蛮简单的,一般考虑的用例:

  • auth为空,不传输auth;
  • auth错误;
  • auth正确;
  • 其它用例。

数字签名

鉴权

数字签名一般是指通过鉴权来保证接口传输的安全性, 通过客户端密匙和服务端的密匙相匹配就是鉴权

例如签名钥匙sign = asd123,

加上签名后,接口传输参数是:

http://xxx:8080/?a=1&b=2&sign=asd123,但是明文传输sign参数是不安全的,所以要经过通过md5加密 。

所以,密匙跟着参数一起传输到服务器的。

MD5加密例子:

。。。。。。

数据防篡改

将整个接口参数生成加密字符串,安全性更高,只是所谓的全参加密,但是全参加密也有弊端,因为MD5是不可逆的,服务器也必须知道接口的参数值才能MD5加密验证,否则验证失败。一般接口设计时对客户端请求参数并不知道。一般不用全参加密。

在接口开发过程中,一般通过时间戳+sign作为密匙加密传输。

这种情况测试接口时,通过获取时间戳和拿到sign密匙后,再拼接成一个字符串,再加密这个字符串,然后和参数一起传输。

MD5时间戳和sign的例子:

>>> sign_key = 'asd123'      #key
>>> from time import *
>>> now_time = time()        #获取当前时间
>>> c_time = str(now_time).split('.')[0]  #获取.之前的时间戳
>>> sign = c_time + sign_key #拼接成一个字符串
>>> sign
'1493187284asd123'
>>> import hashlib           #MD5加密
>>> md5 = hashlib.md5()
>>> sign_bytes_uft8 = sign.encode(encoding='utf-8')
>>> md5.update(sign_bytes_uft8)
>>> sign_md5 = md5.hexdigest()
>>> sign_md5
'a1f3a6ac4416dea5a148967b81ce68f9'
当前时间戳+key加密后,就可以作为参数直接传输了,下面测测试数字签名的接口用例:

测试接口需要根据怎么靠法接口来测试,

请求参数错误;

签名参数为空;

签名错误;

请求超时(如果开发接口时有请求时间限制的话)

数字签名正确;

其他。。。













27、基于签名嵌入标记的Web虚拟商店认证:实用分析
life6的博客
08-04 23
本文探讨了一种基于 Internet-Marks 的虚拟商店认证方法,通过在标记中嵌入数字签名证书信息,确保虚拟商店的真实性与可信度。文章详细介绍了该方法的实现流程、评估结果,并与在线认证进行了比较,提出组合应用方案以提高安全性。此外,还分析了该方法的技术细节、实际应用案例及未来发展趋势,为构建更加安全可靠的网络购物环境提供了理论支持实践指导。
软件测试 接口测试 接口测试的必备条件 接口测试用例设计 HTTP协议基础 Postman
qq_740785701的博客
06-03 1972
接口测试:测试系统内部各个组件间接口,以及系统与外部系统之间的交互点。 接口测试的要求: 接口说明调用url; 请求方法(get/post); 请求参数、参数类型、请求参数说明返回参数说明。 常见的接口传输协议:HTTP、HTTPS、FTPJDBC。 常见的接口测试工具:谷歌浏览器、火狐浏览器、POSTMAN、JMeterFiddler抓包工具。 常见的接口数据组织形式:html、json、stringxml。 HTTP是一个基于TCP/IP通信协议来传递数据(html文件,图片文件,音乐文件,视频
Java后台接口做加密、数字签名、验签
weixin_45366616的博客
12-17 1057
接收者使用发送者的公钥解密被加密的哈希值,然后对收到的原文执行相同的哈希运算得到新的哈希值,与解密得到的数字签名哈希值比对。发送者首先对数据进行哈希运算生成摘要,然后用私钥对摘要进行加密生成数字签名,同时使用接收者的公钥对数据本身进行加密。接收者收到数据后,首先使用自己的私钥解密数据,然后使用发送者的公钥验证数字签名,确保数据的完整性发送者的身份。这种方式既保证了数据的保密性,也确保了数据的完整性发送者身份的验证。:为了确保数据的保密性,发送者在发送数据时,可以使用接收者的公钥对数据本身进行加密。
接口测试加密解密以及接口签名sign原理
mango22_2的博客
05-30 5915
一、什么是加密以及解密 加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。 解密:将加密还原成原始数据 二、加密方式分类 对称式加密:对加密解密使用的是同一个密钥 非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。 三、加密方式详解 1、加对称密技术: DES加密算法:加密安全性弱,一般应用于旧的系统里面 AES加密算法:一般用于前后端分离的接口加密 Base64加密算法:编码的方
C# WebAPI中的Token认证数字签名实现
weixin_32102617的博客
06-16 1276
Web API(Web应用程序编程接口)框架是一个软件中间件,旨在允许服务器客户端应用程序之间的通信。它主要通过HTTP协议交换信息,并通常以JSON或XML格式的数据流形式进行交互。Web API框架使开发人员能够利用现有的网络基础设施,轻松地创建能够处理跨平台跨设备请求的应用程序。
jmeter 接口测试 签名_JMeter处理接口签名(sign)
weixin_40008870的博客
01-17 2918
先贴脚本, 大神请直取新建线程组 → http取样器 → 前置处理器 → bean shell 预处理程序import org.apache.commons.codec.digest.DigestUtils;import java.util.Date;//没有第三方jar包,请放心 importDate date = new Date();//将时间戳截取到秒的量级(长度共10位),大神可以考虑地...
web接口之数字签名
patmos
11-06 1102
web接口之数字签名 什么是数字签名 所谓数字签名(Digital Signature)(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名, 但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用 于签名,另一个用于验证。 数字签名的实现 数字签名的简单实例是直接利用RSA算法发送方的秘密密钥。对被签名的数据进行加密。当接收方收取本块 密文时,使用发送方的公开密钥进行解密,如果能够还原明文,则根据公开密钥体制的特点(公开密钥加密的密文 只能用秘密
Python处理接口测试的签名
Asaasa1的博客
11-19 1055
基本框架: 调用时序图: 第三方调用服务A的认证流程: 1、先访问API鉴权服务来获取apiToken(即拿到访问服务A的认证) 2、再由获取到的apiToken参与服务A的签名认证规则 这样就相当于在第三方服务A直接增加了2次认证,安全性有了更好的保障。 流程1(获取apiToken)的签名规则如下: 1、将所有请求参数的值放入List中,注意:计算sign时所有参数不应进行URLEncode; 2、将格式化后的参数以字典序升序排列,拼接在一起,注意字典序中大写字母在前,空值(null)使用空字符串代替
jmeter 接口测试 签名_[接口测试]JMeter中的字符串加密处理
weixin_39835965的博客
01-17 723
接口测试过程中,经常会遇到带Token或签名等的请求。这里所谓的Token或签名,是一串加密后的字符串,作为请求体或请求头或URL中的一个参数放在Request中。一 采用MD5算法MD5是一种常见的消息摘要算法,采用加密函数对原始消息进行处理,如果消息在途中改变了,则接收者通过对收到消息的新产生的摘要与原摘要比较,就可知道消息是否被改变了。因此消息摘要保证了消息的完整性。JMeter内置__MD...
Manus AI 与 Web3/数字身份结合:签名识别与链上身份认证探索
最新发布
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
06-23 1505
在数字化浪潮与去中心化身份(Decentralized Identity, DID)体系快速发展的背景下,Manus AI 在“手写签名识别”与“链上身份绑定”场景中,展现出独特的可信识别能力。本篇博客将探讨 Manus AI 在签名行为理解、用户手写图像建模、安全防篡改机制、跨语言声明体系等核心技术能力上的落地路径,并结合当前主流 Web3 协议与 DID 网络,分析其在政务、合约、金融等多语言数字身份场景中的实战价值与工程挑战。
【笔记】软件测试09——接口测试
PD137的博客
10-26 1250
常用正则表达式符号的使用获取指定内容最常用的一个正则表达式.*?的使用对于有换行符的字符串的处理Apifox。
api接口的数字签名
lrq3的专栏
08-28 1720
必要的输入参数 参数名 类型 必选 描述 appid string 是 调用方身份ID,接口提供方用此来识别调不同的调用者,该参数是API基本规范的一部分,请详见API公共规范。 _ign string 是  一次接口调用的签名值,服务器端 “防止 伪
jmeter 接口测试 签名_Jmeter接口测试之案例实战
weixin_39937524的博客
12-09 257
在前面的知识体系中详细的介绍了Jmeter测试工具在接口自动化测试中的基础知识,那么今天更新的文章主要是对昨晚的上课内容做个总结。 首先来看Jmeter测试工具在图片上传中的案例应用。首先结合互联网产品人人网,在人人网中有图片上传的部分,见抓取到的信息:在如上的截图中,file参数有两层意思,第一层意思是要上传的文件名称是什么名称, 第二层意思就是要上传的文件路径。上传文件Content-Type...
支付宝接口的数字签名
飞鱼的博客
01-30 1252
通过阅读本篇文章,你可以了解到数字签名技术,了解支付宝接口的签名验签的流程
浅谈什么是“数字签名
gelong_bokewang的博客
05-22 6205
我们在Https或者对称加密、非对称加密中常常老会听到“签名”这个词。今天我们就谈谈什么是“签名”。这里要说一下签名既不是对称加密也不是非对称加密。签名就是一种防止信息被篡改的验证方式。签名的应用环境:A要给B写一封信,A把信写好后,通过邮递的方式把信由低到了B的手里,这是B怎么能确认这封信没有被人修改过呢?但是要加上了签名就能确认。签名的原理:签名就是对A的信的内容进行hash计算(这里的has...
Postman自动生成签名并测试接口
a_jie_2016_05的博客
10-27 6262
             Postman自动生成签名并测试接口   1、新增一个Collections   2、新增全局变量方便后边调用 app_id 、app_salt 就是数据库分配的 app_key /app_salt   3、新增要测试的接口   其中{{xxx}} 为之前设置的全局变量   4、点击Pre-request Script 设置自...
jmeter测试AK,SK签名接口,生成Sign
weixin_40544388的博客
09-15 1125
1、开发会提供sign生成的jar包,在测试计划中引入该jar包 2、在线程组中,添加前置预处理器-BeanShell预处理程序,在其中敲入开发调接口脚本,如图所示 注意预处理程序中,最后一行需要获取sign值,用到vars.put()语句 3、添加http请求,输入参数,如图所示 4、添加察看结果树,查看响应数据 ...
接口签名
GUYyyy的博客
12-07 2341
一、不进行验证的方式 api查询接口: app调用:http://api.test.com/getproducts?参数1=value1… 如上,这种方式简单粗暴,通过调用getproducts方法即可获取产品列表信息了,但是 这样的方式会存在很严重的安全性问题,没有进行任何的验证,大家都可以通过这个方法获取到产品列表,导致产品信息泄露。 那么,如何验证调用者身份呢?如何防止参数被篡改呢? 二、MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key、secret 2.S
php api接口数字签名,验签
weixin_30357231的博客
12-07 475
<?php //说明:第三方请求参数中,需要在平台申请帐号,生成一个appid,每个appid对应一个appserect,请求如下: $param = array(   'appid'=>'137876891',   'name'=>'张三',   'mobile'=>'1389***9108',   'age'=>'29',   'content'=&...
Apache XML数字签名包xml-security-1_5_0使用简介
XML数字签名是基于XML(Extensible Markup Language)的一种技术,用于确保XML文档的完整性认证。XML数字签名使用数字证书加密算法来提供身份验证,确保数据自签名以来未被更改。它是一种行业标准,遵循W3C...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值