接口加密测试

最新推荐文章于 2025-07-14 14:25:59 发布
最新推荐文章于 2025-07-14 14:25:59 发布
阅读量320 收藏 6
点赞数 1
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/victory-0315/p/8616899.html

一般接口开发中有以下常用的几种安全机制:

  • 用户认证
  • 数字签名
  • 接口加密

用户认证
一般的接口测试工具都会提供一个User Auth/Authorization的选项,以Postman为例子,你可以看到以下的选项:

  • 基本认证(Basic Auth)
  • 摘要认证(Digest Auth)
  • OAuth 1.0a
  • OAuth 2.0(最常见,现在的网站接口多数提供此用户认证方式)
    在对应的工具上,你可以选取对应的用户认证选项,这里主要介绍如果用Python如何实现用户认证。

    1 首先安装Requests库,Requests库的get()和post()方法均提供有auth参数,用于设置用户签名。
    2 假定我们有一个接口为添加一个新的公告,接口需要认证:auth=("username","password")
    nid 或 name两个参数二选一
    3 伪代码:

      def test_get_notice_list_nid_sucess(self):
    auth_user = ('admin' , 'admin123456')
    r = requests.get(self.base_url, auth = auth_user, params = {'nid' : 1})
    result = r.json()
    self.assertEqual(result['status'], 200)
    ....

数字签名

在使用 HTTP/SOAP 协议传输数据的时候,签名作为其中一个参数,可以起到关键作用:
先来一个简单的,通过客户的密钥,服务端的密钥匹配;
这个很有好理解,例如一个接口传参为:
http://127.0.0.1:8000/api/?a=1&b=2
假设签名的密钥为:@signpassword
加上签名之后的接口参数为:
http://127.0.0.1:8000/sign/?a=1&b=2&sign=@signpassword
但是,这样的sign 参数明文传输是不安全的,一般会选择一些加密算法,比如MD5 算法(MD5算法是不可逆向的),比如MD5代码如下:

            import hashlib

            md5 = hashlib.md5()
            sign_str = "@signpassword"
            sign_bytes_utf8 = sign_str.encode()
            md5.update(sign_bytes_utf8)
            sign_md5 = md5.hexdigest()
            print(sign_md5)

执行后得到:6648e929329e53e7a91c50ae685a88b5
此时带签名的接口为:
http://127.0.0.1:8000/sign/?a=1&b=2&sign=6648e929329e53e7a91c50ae685a88b5
所以,当服务器接收到请求后,同样需要对“signpassword”进行 MD5 加密,然后,比对与调用者传来的 sign 加密串是否一致,从而来鉴别调用者是否有权限使用该接口。
接着,我们来理解一个复杂一点的:把sign参数传递为api key(申请获取)+timestramp(时间戳)同样需要 用代码来实现,原理和上面这个一致的。(伪代码)

def setUp(self):
  self.base_url = "http://127.0.0.1:8000/api/sec_add_notice/"
  # app_key
  self.api_key = "&APIkey"
  # 当前时间
  now_time = time()
  self.client_time = str(now_time).split('.')[0]
  # sign
  md5 = hashlib.md5()
  sign_str = self.client_time + self.api_key
  sign_bytes_utf8 = sign_str.encode(encoding="utf-8")
  md5.update(sign_bytes_utf8)
  self.sign_md5 = md5.hexdigest()

接口加密

通常接口会使用更复杂一点的方式来进行加密的操作,常见的是AES的使用,放一张图让大家感受一下AES加解密的过程:


1.png

详细的过程可以参见http://www.mamicode.com/info-detail-514466.html 或者自行百度。

Python里面有一个很好的黑魔法,叫PyCrypto库,支持常见的 DES、AES 加密以及 MD5、SHA 各种 HASH 运算。(官方网站下载最新版本:https://www.dlitz.net/software/pycrypto/
另外,也可以在 PyPi 仓库中下载安装:https://pypi.python.org/pypi/pycrypto)
对于AES的加密来说,看一下用了PyCrypto库的结果
加密:

from Crypto.Cipher import AES
# 加密
obj = AES.new('This is a key123', AES.MODE_CBC, 'This is an IV456')
message = "The answer is no"
ciphertext = obj.encrypt(message)
print(ciphertext)

程序运行后的结果为:b'\xd6\x83\x8dd!VT\x92\xaa`A\x05\xe0\x9b\x8b\xf1'
AES加密里面有两个关键,一个是key(必须为16,24,32位),一个是VI(必须为16位)
解密:解谜者必须要同时知道key和VI才可以解密

obj2 = AES.new('This is a key123', AES.MODE_CBC, 'This is an IV456')
s = obj2.decrypt(ciphertext)
print(s)

===
So,接口加密测试的关键就在于开发小哥哥们用了什么加密算法来加密接口。你用相同的加密算法来加密你要发送的值 即可。

现在有很多的公司也把加密的算法直接封装成一个类或者一个接口,也就是测试的时候,你直接调用加密的类或者加密的接口即可完成你的加密工作。剩下的接口测试和以往没加密的接口测试一样没两样了。
附送一个Pypi库里一堆加密算法库的链接,自取:
https://pypi.python.org/pypi?%3Aaction=search&term=crypt&submit=search

转载于:https://www.cnblogs.com/victory-0315/p/8616899.html

加密接口如何测试
Testfan_zhou的博客
08-15 4443
随着互联网技术的发展,服务安全性和数据安全性变的越来越重要,提供接口服务的系统往往会应用各种加密技术,保证接口的安全调用,如何应用工具来实现加密接口测试成为一项必要技能。在讲解如何用Jmeter实现接口安全性测试之前,先来了解一下常见加密算法,测试同学可根据不同的加密算法类型和程序猿&程序猿沟通,获取所需的信息,实现加密接口的处理。 摘要算法 对明文编码生成信息摘要,以防止被篡改。比如...
接口加密了该怎么测?
测试萌萌
05-24 1822
接口加密是指在网络传输过程中,将数据进行加密,以保护数据的安全性。接口加密可以采用多种加密算法,如AES、DES、RSA等。测试接口加密的目的是验证接口加密算法的正确性和安全性。以下是一些详细的测试方法和注意事项:
接口测试专项-加密/签名,一篇打通接口测试
最新发布
okcross0的博客
07-14 986
什么是加密以及解密? 加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。 解密:将加密还原成原始数据
加密接口测试
weixin_44425901的博客
10-29 1965
加密接口测试方法
接口加密如何测试
热门推荐
yuxuan6699的博客
08-15 1万+
摘要算法: 对明文编码生成信息摘要,以防止被篡改。比如MD5使用的是Hash算法,无论多长的输入,MD5都会输出长度为128bits的一个串。 摘要算法不要秘钥,客户端和服务端采用相同的摘要算法即可针对同一段明文获取一致的密文 对称加密: 对称加密算法是共享密钥加密算法,在加密解密过程中,使用的密钥只有一个。发送和接收双方事先都知道加密的密钥,均使用这个密钥对数据进行加密和解密。 数据加密:在对称...
加密接口测试
weixin_43877527的博客
12-20 170
对明文编码生成信息摘要,以防止被篡改。好比MD5使用的是Hash算法,不管多长的输入,MD5都会输出长度为128bits的一个串。安全摘要算法不要秘钥,客户端和服务端采用相同的摘要算法便可针对同一段明文获取一致的密文有趣的是,笔者之前呆过的一个小公司做接口加密,使用的就是MD5加密。个人看法而言,摘要算法其实可以自定义,也可以动态变化,可拓展性大一点。根据上述常见加密算法,测试人员在测试不一样的加密接口可采用下述的方法处理加密接口
postman接口加密测试
weixin_56472820的博客
11-15 1468
加密之后,把加密之后的值设置为全局变量,然后再需要的地方使用{{}}取值。实际开发中,需要先知道开发加密这块的代码,以及框架。
jmeter加密接口测试(实例详细)
01-03
文章目录一、导出加密、解密方法jar包;二、加密jar包导入到jemter中三、BeanShell PreProcessor加密插件中代码的编写1.加密插件四、把加密数据进行解密。1.解密插件 一、导出加密、解密方法jar包; 使用工具是...
Python实现加密接口测试方法步骤详解
12-17
综上所述,Python在加密接口测试中发挥着重要作用,通过编写加密函数、选择合适的加密算法、理解编码与加密的区别、使用测试工具以及构建自动化测试框架,我们可以确保加密接口的安全性和可靠性。在实践中,应不断...
Jmeter对接口测试入参实现MD5加密
08-18
接口测试过程中,确保数据安全性和完整性至关重要,其中一种常用的方法是对输入参数进行加密。本文主要探讨了如何在JMeter中实现对接口测试入参的MD5加密,这对于提升测试的严谨性和保护敏感数据有着积极作用。 ...
检测接口加密
老戚的逆袭的博客
11-14 508
检测接口加密
详解接口加密了怎么测?
HUA1211的博客
09-14 913
PS:这里分享一套软件测试的自学教程合集。对于在测试行业发展的小伙伴们来说应该会很有帮助。除了基础入门的资源,博主也收集不少进阶自动化的资源,从理论到实战,知行合一才能真正的掌握。全套内容已经打包到网盘,内容总量接近100个G。☑ 240集-零基础到精通全套视频课程☑ [课件+源码]-完整配套的教程☑ 18套-测试实战项目源码☑ 37套-测试工具软件包☑ 268道-真实面试题。
接口测试必备技能 - 加密和签名
软件自动化测试技术交流、资源分享
10-28 1958
加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取
接口测试加密解密攻防完整版】实战教程详解
hlsxjh的博客
11-29 366
对称加密算法是共享密钥加密算法,在加密解密过程中,使用的密钥只有一个。发送和接收双方事先都知道加密的密钥,均使用这个密钥对数据进行加密和解密。数据加密:在对称加密算法中,数据发送方将明文 (原始数据) 和 加密密钥一起经过加密处理,生成复杂的密文进行发送。数据解密:数据接收方收到密文后,使用加密的密钥及相同算法的逆算法对加密的密文进行解密,将使其恢复成可读明文。非对称加密算法,有两个密钥,一个称为公开密钥 (publickey),另一个称为 私有密钥 (private key),加密和解密使用的是两个不同的
加密接口如何测试
软件测试技术交流分享
07-11 3506
首先让我们来个小科普,接口的之间数据传输,如果涉及到敏感数据,比如账号、密码等等,不可能明文传输的。
资深8年测试整理,接口测试必备-加密与签名,让你不再走弯路...
分享测试知识
10-12 329
1、接口加密解密1)什么是加密以及解密?加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据2)加密方式分类?对称式加密:对加密和解密使用的是同一个密钥非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。2、加密方式1)加对称密技术DES加密算法:加密安全性弱,一般应用于旧的系统里面AES加密算法:一般用于前后端分离的接口加密Base64加密算法:编码的方式。
接口测试加密解密
06-10
### 接口测试中的加密与解密实现方法 在接口自动化测试中,确保数据的安全性至关重要。为了保护敏感信息,可以使用加密和解密技术来处理接口数据。以下将详细说明如何在接口测试中实现加密与解密,以及常用的工具和库。 #### 1. 加密与解密的基本原理 加密是一种将明文转换为密文的过程,而解密则是将密文还原为明文的过程。常见加密算法包括对称加密(如AES、DES)和非对称加密(如RSA)。在接口测试中,通常使用对称加密算法,因为其性能更高且适合频繁的数据交互[^1]。 #### 2. Python中的加密与解密实现 Python提供了多种库用于实现加密与解密操作,其中`pycryptodome`是一个常用的选择。以下是基于AES算法的加密与解密示例代码: ```python from Crypto.Cipher import AES from Crypto.Util.Padding import pad, unpad from base64 import b64encode, b64decode # 初始化AES对象 key = b'This is a key123' # 密钥 iv = b'This is an IV456' # 初始化向量 cipher = AES.new(key, AES.MODE_CBC, iv) # 加密过程 def encrypt_data(plain_text): padded_text = pad(plain_text.encode(), AES.block_size) # 填充数据 encrypted_text = cipher.encrypt(padded_text) # 加密 return b64encode(encrypted_text).decode() # Base64编码后返回 # 解密过程 def decrypt_data(cipher_text): decoded_cipher_text = b64decode(cipher_text) # Base64解码 decrypted_padded_text = cipher.decrypt(decoded_cipher_text) # 解密 return unpad(decrypted_padded_text, AES.block_size).decode() # 移除填充并返回明文 # 示例 message = "The answer is no" encrypted_message = encrypt_data(message) print(f"Encrypted Message: {encrypted_message}") decrypted_message = decrypt_data(encrypted_message) print(f"Decrypted Message: {decrypted_message}") ``` 上述代码展示了如何使用AES算法进行加密和解密操作,并通过Base64编码确保密文可以在接口中安全传输[^2]。 #### 3. 常用的加密解密工具和库 - **PyCryptodome**: 提供了多种加密算法的支持,是Python中最常用的加密库之一。 - **OpenSSL**: 一个强大的开源工具,支持多种加密协议和算法,常用于命令行操作或集成到程序中。 - **Java Cryptography Extension (JCE)**: 如果使用Java语言进行接口测试,JCE提供了丰富的加密功能。 - **MuleSoft Anypoint Platform**: 集成了加密功能,适用于企业级API管理和测试场景。 #### 4. 注意事项 在实际应用中,需要注意以下几点: - 确保密钥的安全性,避免硬编码密钥。 - 根据需求选择合适的加密算法和模式。 - 对于非对称加密,需要管理公钥和私钥的分发与存储。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值