Python 接口验签测试

最新推荐文章于 2024-10-02 11:51:16 发布
原创 最新推荐文章于 2024-10-02 11:51:16 发布 · 1.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

部署运行你感兴趣的模型镜像

最近有新的接口要上线,测试通过需满足以下条件:

1、身份认证 2、验签(防篡改、防重放)3、输入 处理 输出等。

身份认证使用SSO,直接pass,我们重点放在验签:

参数签名:

将所有参数key的首字母按照accii 从小到大排列 (一对参数的key和value用=号连接,两个参数之间用&连接)拼接,例如:username=secguard&password=whoami_123!,拼接完成后的对整个字符串进行转小写,然后尾部加上&signkey=签名的key,最后将字符串用MD5加密生成:signature

python刚开始接触,不太习惯:

# coding = utf8
import requests
import json  
import hashlib
import datetime
url = "http://apitest/supervise/manage/searchInfo"

headers = {"Content-Type":"application/json","User_Agent":"sec_test"}
now_time = datetime.datetime.now().strftime('%Y-%m-%d %H:%M:%S') #获取当前日期

data = {
	"accessToken": "efd22965-2d92-46dp-9fa0-17192344a252", #认证后的授权token
	"signtime": now_time, #时间错
	"cardId": "114"
}

keys = []
for key in data:
	keys.append(key)

keys = sorted(keys)  #参数首字母Ascii升序
aa=[]
for key in keys:
	if isinstance(data[key],int):
		data[key]= str(data[key])
	aa.append(key+'='+data[key])

#print(" ASCII", ord('a'),ord('k'),ord('p'),ord('c'),ord('s'))
str=''
index=0
for s in aa:
	index=index+1
	if index == len(aa):
		str = str+s
	else:
		str = str+s+'&'

str1 = str.lower()+"&signkey=tSPRGaUQg9LUHJdoklKf9XbOs4SlTsaor"
signature = hashlib.md5(str1.encode("utf-8")).hexdigest() #对参数拼接后进行md5

data.update({"signature":signature}) #验签字符串加入参数字典
"""
最后生成的请求体json如下:
data = {
	"accessToken": "efd22965-2d92-46dp-9fa0-17192344a252",
	"signtime": now_time,
	"cardId": "114",
    "signature":signature
}
"""
res = requests.post(url=url,data=json.dumps(data),headers=headers)
print(json.loads(res.text))

#print(res.text)

 

您可能感兴趣的与本文相关的镜像

Python3.11

Python3.11

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

python3中rsa(加密解密)aes(ecb cbc ctr)hmac的使用,以及unittest测试
baron-周贺贺-代码改变世界ctw
07-13 3055
环境: 在ubuntu14.04下,记得安装:sudo pip3 install pycrypto 代码如下: =========================== import base64 from Crypto.Cipher import AES import random import sys import os class Crypto(): def __init__(self,aes...
如何利用 Python 完成操作
m0_56410013的博客
04-22 570
一、什么是: 用非常简单的话来描述:有一个发送消息的端 A 有一个接收消息的端B ,以及A发给B的信息 msg,发送过程要进行名(类似于对数据加密成一个sign) A对发送的msg进行加密名,随请求发送一个sign B接收消息,要对sign进行,检测消息发送端以及来源是否安全与正确。 注意:sign的生成跟发送的信息有关,且有专门的加密算法。 二、情景再现: 1)加密的算法如下所示(Python代码): 2)请求的数据如下所示: 3)随请求发送的请求头如下(sign表示这里需要传递名后的数
springboot接口名统一效_Python如何接入开放平台?、加密解密、授权认证测试实战...
weixin_39958025的博客
10-23 472
当前大型top企业都有非常成熟的开放平台业务,比如微信开放平台、新浪微博开放平台、支付宝开放平台等。开放平台的发展为第三方个人或企业提供了巨大的机遇。开发者想要接入各大开放平台,必须要遵从开放平台的安全机制,实现业务逻辑的前提,首先就是要实现、加密解密以及授权认证机制。本文介绍基于python的开放平台名、认证测试体系,可以用于第三方应用的沙盒测试,同可以应用于服务提供方相关系统的全面...
Python方式
涟漪、的博客
11-20 2245
OpenSSL # !/usr/bin/python3 # -*- coding: utf-8 -*- import OpenSSL from OpenSSL.crypto import sign,verify import time from dateutil import parser def VerifyCrtAndKey(crtFileUrl, keyFileUrl) ->bool: try: with open(crtFileUrl) as e: crt_.
python接口自动化测试之API接口测试
weixin_36330442的博客
01-02 1237
很多公司都开放对外的API,测试候我们一般用postman,jmeter等工具可以简单上手,但是对于复杂的流程有候就不太友好了。
python实现RSA加密和名以及分段加解密
MR的博客
08-24 2648
接口数据使用了RSA加密和名?一篇文章带你搞定! 1、前言 ​ 很多童鞋在工作中,会遇到一些接口使用RSA加密和名来处理的请求参数,那么遇到这个问题的候,第一间当然是找开发要加解密的方法,但是开发给加解密代码,大多数情况都是java,c++,js等语言实现的,加解密的代码虽然有了,但是咱们身为一个测试,使用python做的自动化,并不是什么语言都会,这个候就会比较尴尬了,看着这一团加解密...
python接口测试实战--sign
weixin_37851188的博客
10-28 2058
生成sign名值一、背景二、接口名规范三、实现代码 一、背景 最近测试的项目由于需要给第三方调用,所以增加了安全性的认证,所有的接口调用都需要名进行, 于是研究了一下使用python按照接口名规范生成sign值。 二、接口名规范 1、请求参数中的 sign 参数和为空的参数去除后,剩余的多个键值对,将键按照字典序排序, 并以key1=value1&key2=value2的格式拼成一个字符串 2、拼接的字符串需要URLEncode 3、将开发者的key拼接在第一步中排序后的字符串后面得到
python3.6 对接微信、支付宝支付接口,以及异步、同步全过程。
weixin_41639818的博客
05-22 2520
首先描述下微信以及支付宝对接流程(PC网站中集成支付二维码) 对接支付宝支付付款的话有两种方式,一:调用支付宝接口,根据返回的qr_code的值(是一个url),然后自己生成二维码,嵌入在网页付款(也就是订单预创建),二:通过新跳转页面到支付网站支付,这种方式对于web来说不太友好,毕竟直接集成在网站中,直接支付比较方便,我本次项目中使用到的也是集成在网站中。 准备工作 支付宝对接有一个测试环境,支付宝沙箱版(注意,目前只有支持安装版本).... 困了困了,现在很晚了,明天继续更新 希望能让大家少
python使用微信设置-Python3实现微信公众平台Token证与接口请求
weixin_37988176的博客
10-30 1675
这一篇教程,我们一起了解关于微信公众平台开发的基本配置(包括服务器设置和沙箱设置以及Token证),以及通过获取微信公众平台沙箱密钥了解接口调用过程。首先要提醒大家,微信公众平台开放的接口只有一部分,微信支付接口需要先进行公众号认证或者到微信开放平台进行开发者身份证才能使用,证费每年300元。我想这一定是一个假的开放平台…虽然,我做了各种尝试,看能不能进行微信支付相关的开发测试结果...
Jmeter接口测试-MD5加密-请求(完整流程)
HB8888888的博客
03-21 2093
第一部分:先准备好Jmeter 1.在开始编写脚本之前,先要确保你的Jmeter能够正常运行。若你还没有安装Jmeter,可参考以下方法: A.Jmeter需要java运行环境,所以需要下载JDK,JDK下载地址:https://www.oracle.com/technetwork/java/javase/downloads/index.html (最好使用 JDK 8 以上的版本,上述链接下可以下载最新的 JDK 版本) B.安装JDK,请参考百度教程:https://jingyan...
Python-Api证样例
08-10
Api证样例
Python FastApi 实现
爱分享的小猿
10-02 1581
大家在写后台接口,都想要设计一个安全的,稳定的架构来支持各种业务,此文章介绍的Token的机制,和名的证。Token作为鉴权,名作防篡改。
postman测试如何获取数字
qq_45936359的博客
07-29 515
postman测试如何获取数字
jmeter 强校sign测试
txwsmsm7023_的博客
09-02 931
sign主要是为了安全 参数名可以保证开发的者的信息被冒用后,信息不会被泄露和受损。原因在于接入者和提供者都会对每一次的接口访问进行名和证。 名sign的方式是目前比较常用的方式。 第1步:接入者把需求访问的接口的所有必要的参数信息(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母顺序排序。拼接成字符串 第2步: 然后把排序后的参数按参数1值...
Jmeter接口测试sign脚本
weixin_44960975的博客
04-02 2576
在工作中遇到需要测试接口名的证,可以借助postman和jmeter两种工具实现,本人推荐postman来编写脚本,脚本简洁,使用的人也较多,遇到问题也好研究。 一、获取规则 规则一般是开发定义好的,在接口文档中有详细说明,可找开发提供接口文档和询问开发规则。规则如下: 二、添加请求 请求路径中拼接需求证的参数 三、编写生成名的脚本 名一般是在发起请求前就要获取到的,所以这里使用的是Jmeter的前置处理器BeanShell PreProcessor 根据名规则,第一步
python 3 RSA名和
zscccccc的博客
04-07 5309
python 3 RSA名和
php pkcs7算法,OpenSSL 接口调用及测试
weixin_28406969的博客
04-05 551
OpenSSL 接口调用及测试概述项目中我们经常会遇到开发名、功能。名、是可信赖网络的一个重要功能。因此,我记录了OpenSSL 接口调用及测试。相关测试代码base64编码相关的代码base64.h头文件#ifndef BASE64_H#define BASE64_H#include #include #include #include #include #inclu...
接口测试中的如何处理
最新发布
08-08
接口测试中,证是一种常见的安全机制,用于防止非法请求和数据篡改。处理证的关键在于理解名的生成规则,并在测试工具中模拟该过程,以生成合法的请求。 名通常由请求中的业务参数按照特定规则排序后,加上一个安全密钥(如 `secretKey` 或 `appKey`),再通过加密算法(如 MD5、SHA1、HMAC-SHA256 等)生成。服务端在接收到请求后,会使用相同的规则和密钥重新生成名,并与请求中的名字段进行比对,若一致则证通过。 ### 常见名生成方式 名字段 `sign` 的生成方式通常包括以下几个步骤: 1. **参数排序**:将所有业务参数按照参数名进行字典序排列。 2. **拼接参数**:将参数名和对应的值按照一定格式拼接成字符串,例如 `param1=value1&param2=value2`。 3. **添加密钥**:在拼接好的字符串末尾或指定位置添加安全密钥。 4. **加密生成名**:使用 MD5、SHA1、HMAC-SHA256 等加密算法生成名值。 5. **传递名**:将生成的名作为 `sign` 参数附加在请求中。 例如,使用 MD5 加密生成名的 Python 示例: ```python import hashlib def generate_sign(params, secret_key): # 对参数按字母顺序排序 sorted_params = sorted(params.items(), key=lambda x: x[0]) # 拼接参数字符串 param_str = '&'.join([f"{k}={v}" for k, v in sorted_params]) # 添加密钥 sign_str = param_str + secret_key # 生成 MD5 名 sign = hashlib.md5(sign_str.encode('utf-8')).hexdigest() return sign # 示例参数 params = { 'timestamp': '1672531199', 'nonce': '123456', 'action': 'create_order' } secret_key = 'your_secret_key' sign = generate_sign(params, secret_key) print("生成的名:", sign) ``` ### 在 JMeter 中处理证 在 JMeter 中进行接口测试,可以使用 **JSR223 Sampler** 或 **BeanShell** 脚本动态生成名。以下是一个使用 Groovy 脚本生成 MD5 名的示例: ```groovy import java.security.MessageDigest def params = [:] params['timestamp'] = vars.get("timestamp") params['nonce'] = vars.get("nonce") params['action'] = vars.get("action") def secretKey = "your_secret_key" // 按键排序 def sortedParams = params.sort { a, b -> a.key.compareTo(b.key) } // 拼接参数字符串 def paramStr = sortedParams.collect { k, v -> "$k=$v" }.join('&') // 添加密钥并生成 MD5 def digest = MessageDigest.getInstance("MD5") digest.update((paramStr + secretKey).getBytes('UTF-8')) def md5sum = new BigInteger(1, digest.digest()).toString(16).padLeft(32, '0') // 将生成的名存入变量供后续请求使用 vars.put("sign", md5sum) ``` 在 JMeter 测试计划中,可将上述脚本嵌入到 **JSR223 PreProcessor** 中,在请求发送前动态生成名值,并将其插入到请求参数中。 ### 证的注意事项 - **密钥安全**:确保名所用的密钥不被泄露,测试环境中应使用测试专用密钥。 - **间戳证**:部分系统要求名中包含间戳,并证请求是否在有效间内,避免重放攻击。 - **参数完整性**:名生成过程中应确保所有参与名的参数都被正确处理,避免遗漏或多余参数影响结果。 - **编码一致性**:注意参数值的编码方式(如 UTF-8),确保服务端与客户端编码一致,避免因编码差异导致名不一致。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值