一般公司对外的接口都会用到sign签名,对不同的客户提供不同的apikey ,这样可以提高接口请求的安全性,避免被人抓包后乱请求
之前讲过用python代码实现sign签名,这次介绍jmeter上如何实现sign签名,思路都是差不多的
签名参数sign生成的方法
第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序
第2步: 然后把排序后的参数按参数1值1参数2值2…参数n值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将"转成”后再拼接)的方式拼接成一个字符串
第3步: 把分配给接入方的验证密钥key拼接在第2步得到的字符串key
第2步: 在上一步得到的字符串后面加上验证密钥key(这里的密钥key是接口提供方分配给接口接入方的),然后计算md5值,得到32位字符串,然后转成大写
第4步: 计算第3步字符串转小写后得到的md5值(32位),得到的字符串作为sign的值
假设传输的数据是:http://www.xxx.com/interface.aspx?sign=sign_value&p2=v2&p1=v1&method=cancel&p3=&pn=vn
(实际情况最好是通过post方式发送),其中sign参数对应的sign_value就是签名的值
第一步,拼接字符串,首先去除sign参数本身,然后去除值是空的参数p3,剩下p2=v2&p1=v1&method=cancel&pn=vn,然后按参数名字符升序排序,method=cancel&p1=v1&p2=v2&pn=vn
第二步,然后做参数名和值的拼接,最后得到methodcancelp1v1p2v2pnvn
第三步,在上面拼接得到的字符串后加上验证密钥key,我们假设是abc,得到新的字符串methodcancelp1v1p2v2pnvnabc
第四步,然后将这个字符串换为小写进行md5计算,假设得到的是abcdef,这个值即为sign签名值
注意,计算md5之前请确保接口与接入方的字符串编码一致,如统一使用utf-8编码或者GBK编码,如果编码方式不一致则计算出来的签名会校验失败
先根据签名文档,了解签名规则,认真阅读上面的签名规则(并不是每个接口都是一样的签名规则,这里只是举个例子)
我们假设提供的apikey为12345678,请求的body参数为
body = {
"username": "test",
"password": "123456",
"mail": "",
"sign": "签名后的值"
}
使用python实现签名
import hashlib
apikey = "12345678" # 验证密钥,由开发提供
body = {
"username": "test",
"password": "123456",
"mail": ""
}
# 列表生成式,生成key=value格式
a = ["".join(i) for i in body.items() if i[1] and i[0] != "sign"]
print(a)
# 参数名ASCII码从小到大排序
strA = "".join(sorted(a))
print(strA)
# 在strA后面拼接上apiKey得到striSignTemp字符串
striSignTemp = strA+apikey
# 将strSignTemp字符串转换为小写字符串后进行MD5运算
# MD5加密
def jiamimd5(src):
m = hashlib.md5()
m.update(src.encode('UTF-8'))
return m.hexdigest()
sign = jiamimd5(striSignTemp.lower())
print(sign)
# 得到sign签名后新的body值
body["sign"] = sign
print(body)
运行结果
['usernametest', 'password123456']
password123456usernametest
1aca01806e93bb408041965a817666af
{'username': 'test', 'password': '123456', 'mail': '', 'sign': '1aca01806e93bb408041965a817666af'}
先定义全局变量,用户名和密码,mail参数先不管,设置为空
请求参数引用变量
添加 BeanShell 预处理程序
在 BeanShell 预处理程序 添加sign 签名的代码,java代码水平有限没做非空判断和排序,手动读取用户名和密码两个变量的值
手动排序后拼接签名的key,最后md5加密
import org.apache.commons.codec.digest.DigestUtils; //导入md5加密的包
String a = "username" + vars.get("user");
log.info(a);
String b = "password" + vars.get("password");
log.info(b);
String key = "12345678";
log.info(key);
// 排序后拼接字符串
c = b+a+key;
log.info(c);
// md5加密
String md5_after = DigestUtils.md5Hex(c); // md5加密
log.info(md5_after);
// 添加到变量sign
vars.put("sign", md5_after)
运行后,查看日志签名值:1aca01806e93bb408041965a817666af
使用 vars.put(varname, value) 方法添加签名后的值给到sign变量
BeanShell 预处理程序 会在发送请求执行执行,在请求之前就已经对请求参数签名了,获取sign变量的值就可以了
运行后可以看到请求参数签名成功