通常对接第三方为了保证请求合法性,往往需要对请求参数进行签名,以过滤掉非法请求。请求的签名可以使用参数、时间戳、AppKey、AppSecret等按照约定生成签名数据,请求时携带上时间戳、签名在服务端进行验证。
使用Postman Pre-request-Script功能在请求发送前根据第三方规则生成签名,设置到环境变量中在请求中使用。
- Postman如何查看console日志
- Postman如何获取、设置变量
- Postman按照第三方约定生成签名
// 获取当前时间戳
let timestamp = new Date().getTime();
console.log('当前时间戳:' + timestamp);
// POST请求体中的参数,视第三方请求参数格式是否需要解析为JSON
let bodyParam = request.data;
console.log('POST请求体中的参数:' + bodyParam);
try {
// 序列化JSON BODY
bodyParam = JSON.parse(bodyParam);
console.log('POST请求体参数解析为JSON:' + bodyParam);
}
catch(exception){
console.log('POST请求体参数解析为JSON失败:' + exception);
}
// 获取Post请求中的参数名,过滤掉不参与签名的参数,视第三方而定
var paramNames = [];
for (let paramName in bodyParam) {
// 不参与签名的参数忽略,是第三方服务而定
if (paramName == 'param1' || paramName == 'param2'){
continue;
}
paramNames.push(paramName);
}
console.log('POST请求参数名如下:' + paramNames.join(', '));
// 参数名按照字典排序,视第三方而定
paramNames.sort();
// 签名元数据,获取配置的环境变量,第三方分配的唯一标识
let key = pm.environment.get("thirdAppId");
console.log('第三方分配的唯一标识' + key);
// 按照参数名排序后的顺序拼接参数名、参数值
for (let paramName of paramNames){
key += paramName;
// 时间戳取当前毫秒数
if (paramName == 'timestamp'){
key += timestamp;
} else {
key += bodyParam[paramName];
}
}
var thirdSecret = pm.environment.get("thirdSecret");
console.log('第三方分配的秘钥:' + thirdSecret);
key += thirdSecret;
console.log('签名数据:' + key);
var thirdSign = CryptoJS.SHA1(key).toString().toUpperCase();
console.log('生成的签名:' + thirdSign);
// 设置时间戳、签名到环境变量中,在请求参数中使用
postman.setEnvironmentVariable("timestamp", timestamp);
postman.setEnvironmentVariable("thirdSign", thirdSign);