前言

一般公司对外的接口都会用到sign签名,对不同的客户提供不同的apikey ,这样可以提高接口请求的安全性,避免被人抓包后乱请求。

sign签名是一种很常见的方式

关于sign签名的可以参考前面一篇的介绍https://www.cnblogs.com/yoyoketang/p/11742187.html

接口sign签名

一登陆的接口请求为例,如下接口抓包报文信息,其中sign的签名规则如下

  • 第一步,拼接字符串,首先去除sign参数本身,然后去除值是空的参数p3,剩下p2=v2&p1=v1&method=cancel&pn=vn,
  • 然后按参数名字符升序排序,method=cancel&p1=v1&p2=v2&pn=vn.
  • 第二步,然后做参数名和值的拼接,最后得到methodcancelp1v1p2v2pnvn
  • 第三步,在上面拼接得到的字符串后加上验证密钥apikey,我们假设是abc,得到新的字符串methodcancelp1v1p2v2pnvnabc
  • 第四步,然后将这个字符串换为小写进行md5计算,假设得到的是abcdef,这个值即为sign签名值。

    注意,计算md5之前请确保接口与接入方的字符串编码一致,如统一使用utf-8编码或者GBK编码,如果编码方式不一致则计算出来的签名会校验失败。
POST http://127.0.0.1:8000/api/v3/login HTTP/1.1

User-Agent: Fiddler

Content-Type: application/json

Host: 127.0.0.1:8000

Content-Length: 111

{

	"username": "test",

	"password": "123456",

         "sign": "1aca01806e93bb408041965a817666af"

}

HTTP/1.1 200 OK

Date: Sat, 26 Oct 2019 03:38:31 GMT

Server: WSGIServer/0.2 CPython/3.6.0

Content-Type: application/json

Vary: Accept, Cookie

Allow: POST, OPTIONS

X-Frame-Options: SAMEORIGIN

Content-Length: 109

{"code": 0, "msg": "login success!", "username": "test", "token": "a76ba3b8fcbdff82f6a94e5ad5bf8fb934192e5f"}

httprunner脚本

使用httprunner框架写脚本

- config:

    name: logincase

    variables: {}

- test:

    name: login case1

    request:

        url: http://127.0.0.1:8000/api/v3/login

        method: POST

        headers:

            Content-Type: application/json

            User-Agent: python-requests/2.18.4

        json:

            username: test

            password: "123456"

    setup_hooks:

        -   ${setup_request($request)}

    validate:

        - eq: [status_code, 200]

        - eq: [headers.Content-Type, application/json]

        - eq: [content.msg, login success!]

        - eq: [content.code, 0]

setup_hook函数

在debugtalk.py 编写setup_hook函数,对请求的body部分预处理

import hashlib

def sign_body(body, apikey="12345678"):

    '''请求body sign签名'''

    # 列表生成式,生成key=value格式

    a = ["".join(i) for i in body.items() if i[1] and i[0] != "sign"]

    # print(a)

    # 参数名ASCII码从小到大排序

    strA = "".join(sorted(a))

    # print(strA)

    # 在strA后面拼接上apiKey得到striSignTemp字符串

    striSignTemp = strA+apikey

    # 将strSignTemp字符串转换为小写字符串后进行MD5运算

    # MD5加密

    def jiamimd5(src):

        m = hashlib.md5()

        m.update(src.encode('UTF-8'))

        return m.hexdigest()

    sign = jiamimd5(striSignTemp.lower())

    # print(sign)

    return sign

def setup_request(request):

    '''setuphook函数,发请求前预处理'''

    body = request.get("json")

    print(body)

    # 由body请求参数生成sign值

    sign = sign_body(body, apikey="12345678")

    print("sign值:%s" % sign)

    request["json"]["sign"] = sign

if __name__ == '__main__':

    body = {

        "username": "test",

        "password": "123456"

    }

    print(sign_body(body))

运行用例

D:\soft\HELL\DEMO>hrun login_sign_demo.yml

login case1

{'username': 'test', 'password': '123456'}

sign值:1aca01806e93bb408041965a817666af

INFO     POST http://127.0.0.1:8000/api/v3/login

INFO     status_code: 200, response_time(ms): 689.84 ms, response_length: 109 bytes

INFO     start to validate.

.

----------------------------------------------------------------------

Ran 1 test in 0.698s

OK

INFO     Start to render Html report ...

INFO     Generated Html report: D:\soft\HELL\DEMO\reports\1572062969.html

D:\soft\HELL\DEMO>

httprunner学习24-sign签名验证的更多相关文章

  1. HttpRunner学习8--使用debugtalk.py辅助函数

    前言 在HttpRunner中,我们的测试用例都是写在 YAML/JSON 文件中,有时候我们想借助代码来实现某些较复杂的功能,但在 YAML/JSON 中是无法直接写代码来处理的,这个时候,我们可以 ...

  2. httprunner学习15-运行用例命令行参数详解

    前言 HttpRunner 在命令行中启动测试时,通过指定参数,可实现丰富的测试特性控制. 命令行参数CLI 使用 -h 查看相关命令行参数 hrun -h 参数名称 参数值 参数说明 -h, --h ...

  3. HttpRunner学习10--hook机制

    前言 对于使用过 Python结合Unittest 框架来做自动化测试的同学,应该知道在 Unittest 中,有这样2个方法:setUp() 和 tearDown() ,即前置和后置操作.通常 se ...

  4. HttpRunner学习7--引用CSV文件数据

    前言 在之前的文章中,我们已经学习了 parameters 参数化,是在测试脚本中直接指定参数列表.这种方法简单易用,但如果我们的参数列表数据比较多,这种方法可能就不太适合了. 当数据量比较大的时候, ...

  5. HttpRunner学习6--使用parameters参数化

    前言 在使用HttpRunner测试过程中,我们可能会遇到这种场景: 账号登录功能,需要输入用户名和密码,设计测试用例后有 N 种组合情况 如果测试组合比较少,比如只有2个,那我们直接在YAML脚本中 ...

  6. HttpRunner学习5--使用variables声明变量

    前言 在HttpRunner中,如果需要声明变量,可以通过关键字 variables 来完成,要引用声明的变量,则是通过 $+变量名 (如 $token )来实现.variables 可以在 conf ...

  7. HttpRunner学习3--extract提取数据和引用

    前言 在HttpRunner中,我们要想从当前 HTTP 请求的响应结果中提取参数,可以通过 extract 关键字来实现. 本人环境:HttpRunner V1.5.8 测试场景 在这里,我将以一个 ...

  8. HttpRunner学习2--用例格式和简单使用

    前言 HttpRunner中,测试用例支持两种文件格式:YAML 和 JSON.两种格式的用例是完全等价的,对于相同的信息内容,使用 YAML /JSON 得到的测试结果和报告也是一致的. 本人环境: ...

  9. HttpRunner学习1--Windows&Linux安装httprunner

    最近在学习HttpRunner,这是一款开源的接口测试框架,可用于HTTP(S)协议的接口测试.通过该框架,我们只需维护一份 YAML/JSON 脚本,即可轻松的进行接口自动化. 更多的介绍,大家可以 ...

随机推荐

  1. Rattle

    Rattle使用RGtk2 包提供的Gnome图形用户界面,可以在WINDOWS,MAC OS/X,Linux等多个系统中使用. Rattle基于大量的R包:RGtk2, pmml, colorspa ...

  2. Tarjan 算法求 LCA / Tarjan 算法求强连通分量

    [时光蒸汽喵带你做专题]最近公共祖先 LCA (Lowest Common Ancestors)_哔哩哔哩 (゜-゜)つロ 干杯~-bilibili tarjan LCA - YouTube Tarj ...

  3. Leetcode 初刷(1)

    1.给定一个整数数组 nums 和一个目标值 target,请你在该数组中找出和为目标值的那 两个 整数,并返回他们的数组下标. 你可以假设每种输入只会对应一个答案.但是,你不能重复利用这个数组中同样 ...

  4. 避免因为Arcgis Server服务设置不当导致Oracle Process溢出的方法

    我之前写过一篇文章<arcsoc进程无限增长导致oracle processes溢出>(见链接:https://www.cnblogs.com/6yuhang/p/9379086.html ...

  5. linux ffmpeg 源码安装教程

    AMR格式是智能手机上的常用音频文件格式,比MP3格式的压缩比大.同样时长的AMR文件大概是MP3的十分之一,所以在移动互联项目中应用比较广泛.但目前AMR格式在个人电脑上应用较少,所以目前大部门播放 ...

  6. hanlp进行命名实体识别

    需要安装jpype先,这个是python调用java库的桥梁. # -*- coding: utf-8 -*- """ Created on Thu May 10 09: ...

  7. MarkDown添加图片的三种方式【华为云技术分享】

    Markdown插图片有三种方法,各种Markdown编辑器的插图方式也都包含在这三种方法之内. 插图最基础的格式就是: ![Alt text](图片链接 "optional title&q ...

  8. Echarts 学习系列(3)-Echarts动态数据交互

    写在前面 上一小节,我们总结了折线(面积)图.柱状(条形)图.饼(圆环)图类型的图表. 但是,都是静态的.接下来的,这一小节,总结的是Echarts 动态数据的交换. 前置条件 开发环境:win10 ...

  9. asp.net core 系列之允许跨域访问-1(Enable Cross-Origin Requests:CORS)

    接上篇的允许跨域 4.CORS 策略(Policy)的选项 这里讲解Policy可以设置的选项: 设置允许的访问源 设置允许的HTTP methods 设置允许的请求头(request header) ...

  10. Docker安装Consul集群

    Docker 安装Consul集群 使用windows 环境,Docker desktop community 构建consul集群. 1.docker 容器网络 docker安装后,默认会创建三种网 ...