Apifox-前置脚本之动态拦截请求基于参数密钥自动加签

置顶 已于 2023-10-31 14:31:45 修改
阅读量1k 收藏 4
点赞数 11
文章标签: javascript 安全
于 2023-07-13 13:52:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35507489/article/details/131700836
版权

系列文章目录

文章目录

前言

一、需求背景

通过Apifox管理api接口后,基于参数签名接口如何使用Apifox进行签名。

二、行动方案

1. 接口根目录—维护前置操作公共脚本(可默认启用)

前置脚本(自动加签)内容: 

//动态拦截请求基于参数密钥自动加签
let requesUrl = pm.request.url;
let requesHeaders = pm.request.headers;
console.info('requesUrl:' + requesUrl);
console.info('requesHeaders:' + requesHeaders);

let requestUrlQuery = pm.request.url.query;
let requestBody = pm.request.body;
let requestBodyRaw = pm.request.body.raw;
let requestBodyFormData = pm.request.body.formdata;
let requestBodyUrlencode = pm.request.body.urlencode;

//console.info('requestUrlQuery:' + requestUrlQuery);
//console.info('requestBody:' + requestBody);
//console.info('requestBodyRaw:' + requestBodyRaw);
//console.info('requestBodyFormData:' + requestBodyFormData);
//console.info('requestBodyUrlencode:' + requestBodyUrlencode);
let tenantId = requesHeaders.get("tenantId");
let appId = requesHeaders.get("appId");
let appKey = requesHeaders.get("appKey");
if(tenantId != undefined) {
  console.warn('tenantId为空');
  //return;
}
if(!appId) {
  console.error('appId为空');
  return;
}
if(!appKey) {
  console.error('appKey为空');
  return;
}
// 存放所有需要用来签名的参数
let signParam = {};

//加入requesUrlQuery参数
let queryParams = requestUrlQuery;
if (queryParams) {
    queryParams.each(item => {
        if (!item.disabled && item.value !== '') { // 启用且非空参数值的参数才参与签名
            signParam[item.key] = item.value;
        }
    });
}

//加入requestBody参数
if (requestBody) {
  let formData
  switch (pm.request.body.mode) {
    case 'formdata':
      formData = pm.request.body.formdata
      break
    case 'urlencoded':
      formData = pm.request.body.urlencoded
      break
    case 'raw':
      // 如果没有 JSON 格式的请求 body,或 JSON 格式 body 不参与签名,可以删除这一段
      let contentType = pm.request.headers.get('content-type')
      if (
        contentType &&
        pm.request.body.raw &&
        contentType.toLowerCase().indexOf('application/json') !== -1
      ) {
        try {
          let jsonData = JSON.parse(pm.request.body.raw)
          /*
           * 注意:通过脚本取出来的接口参数,如果参数包含变量,变量是不会替换成对应的值。如想要获取替换后的值,可使用`pm.variables.replaceIn`方法处理:
           * let body = pm.variables.replaceIn(pm.request.body.raw);
           * let jsonData = JSON.parse(body);
           */
          for (let key in jsonData) {
            let value = `${jsonData[key]}` // 此处要注意如果值的实际类型不是 string 需要根据实际情况处理。
            if (value !== '') {
              // 非空参数值的参数才参与签名
              signParam[key] = value
            }
          }
        } catch (e) {
          console.log('请求 body 不是 JSON 格式')
        }
      }
      break
    default:
      break
  }
  if (formData) {
    formData.each((item) => {
      if (!item.disabled && item.value !== '') {
        // 启用且非空参数值的参数才参与签名
        signParam[item.key] = item.value
      }
    })
  }
}

//加签
// 获取10位时间戳
//var timestamp = Math.round(new Date().getTime()/1000).toString();
// 获取13位时间戳
let timestamp = new Date().getTime()
signParam['timestamp'] = timestamp;
signParam['appId'] = appId;
signParam['tenantId'] = tenantId;

let defaultValue = "null";
for (let key in signParam) {
  if(signParam[key] == undefined) {
    signParam[key] = defaultValue;
  } 
}

//取key
let keys = [];
for (let key in signParam) {
    // 注意这里,要剔除掉 sign 参数本身
    if (key !== 'sign') {
        keys.push(key);
    }
}

keys.sort();//参数名 ASCII 码从小到大排序(字典序)
// 转成键值对
let paramPair = [];
for (let i = 0, len = keys.length; i < len; i++) {
    let k = keys[i];
    //paramPair.push(k + '=' + encodeURIComponent(signParam[k])) // urlencode 编码
    paramPair.push(k + '=' + signParam[k]) // urlencode 编码
}

paramPair.push("key=" + appKey);//最后加上appKey
let signStr = paramPair.join('&');//拼接链接符
let signature = CryptoJS.MD5(signStr).toString().toLowerCase();//加签

console.info('appId:' + appId + ',appKey:' + appKey);
console.info('签名内容:' + signStr);
console.info('签名:' + signature);

//pm.environment.set('signature', signature);
//pm.environment.set("timestamp", timestamp);

//pm.request.headers.add('timestamp', timestamp);
//pm.request.headers.add('signature', signature);
pm.request.headers.add({key: "timestamp",value: timestamp});
pm.request.headers.add({key: "signature",value: signature});
let requestTimestamp = new Date().getTime()
console.info(requestTimestamp + ' : timestamp:' + pm.request.headers.get('timestamp'));
console.info(requestTimestamp + ' : signature:' + pm.request.headers.get('signature'));

2、业务接口运行时自动加入已启用前置操作公共脚本

3、运行加签业务接口查看实际请求参考控制台输出

总结

Amos.Sun
关注
  • 11
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
apifox模拟前端实现服务端签名阿里OSS直传
S01N10Y00的博客
09-14 257
respMap.put("OSSAccessKeyId", "你自己的keyID");// 设置上传到OSS文件的前缀,可置空此项。// 填写Host地址,格式为https://bucketname.endpoint。//指定以日期作为文件夹 每天一个 前端key需要以dir作为前缀。log.info("alOSS图片直传签名{}",respMap);这个路径是 liu-yht(自己的Bucket 名称)加上你的地域名后面是固定的。访问的路径就是文件的名称就是访问路径加上这里的key。
APIFox-自动获取登陆状态脚本
02-26
作为纯后端开发码农,每次接口开发完的调试很重要,因此每次重复的手动获取登陆状态Token或者直接放行就太麻烦了。...APIFox提供了前置操作,可以很方便的自动获取登录状态,节省大量重复劳动时间。
apifox前置自定义脚本,生成签名
从兄的博客
12-10 3636
为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,TOP服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝使用apifox工具每次访问都要填写签名很麻烦,写个脚本自动生成签名,解决这种麻烦事。
Apifox验签脚本大众版
雁迟的博客
02-06 773
接口签名是接口请求的一种常见的场景,那为什么需要对接口进行签名?通常为了防止参数被篡改。
ApifoxAPI 接口自动化测试完全指南
最新发布
m0_70669463的博客
04-22 1481
这是一篇关于Apifox的接口自动化测试教程。相信你已经对 Apifox 有所了解:“集 API 文档、API 调试、API Mock、API 自动化测试,更先进的 API 设计/开发/测试工具”。
接口测试工具Apifox 基础篇:前置脚本
LYX_WIN
01-23 9690
一、前置脚本 前置脚本是在请求发送前执行的代码片段。如要在请求头中包含时间戳或在 URL 参数中发送随机的字母数字字符串等类似请求中非常适用。 二、使用示例 1、要在请求头中包含当前时间戳,可以使用从函数返回的值来设置环境变量。 将参数 timestamp 的值设置为 {{timestamp}} 。当请求发送时,前置脚本将被执行,环境变量 timestamp 的值会被设置为当前时间戳,同时 {{timestamp}}也会被替换为当前时间戳。 注意:要设置环境变量,该环境必须处于选中状态。 ..
ApiFox工具前置操作及后置操作公共脚本应用—Eureka应用信息批量获取
m0_37715625的博客
12-11 671
ApiFox工具前置操作及后置操作公共脚本应用—Eureka应用信息批量获取
apifox 前置操作用在json中
qq_43077857的博客
10-19 554
apI 前置操作在json中的使用
Apifox设置全局动态token
一滴水的眼泪
06-07 3134
Apifox设置全局动态token
基于LabVIEW平台的多路前置放大器的自动测量系统
01-20
本研究开发了基于LabVIEW平台的多路前置放大器的自动测量系统,可实现多路放大器技术指标的全部自动测量或选项测量.  1 系统功能及组成  1. 1 系统功能  系统能自动测量前置放大器输出信号的电压、增益、带宽、...
脚本MD5加密.zip
07-19
该文件为脚本的mad5加密算法,里面有使用说明,只要引用脚本,再调用里面的方法就可以实现对字符串的加密操作。
vue路由导航守卫和请求拦截以及基于node的token认证的方法
10-17
本文主要探讨了在Vue.js框架下如何实现路由导航守卫、请求拦截以及基于Node.js的Token认证机制,这些技术可以帮助我们构建更加安全、高效的用户交互流程。 1. **路由导航守卫**: 路由导航守卫是Vue Router提供的...
行业文档-设计装置-基于银行前置业务平台的多渠道接入装置.zip
09-07
1. **银行前置业务平台**:银行前置业务平台是银行信息化系统的一部分,主要用于处理来自各个外部渠道(如ATM、网银、移动银行、POS等)的交易请求,实现与核心业务系统的交互。它的主要功能包括交易路由、协议转换...
行业资料-交通装置-一种基于智能手机前置摄像头实现自动翻页的系统及方法.zip
08-24
行业资料-交通装置-一种基于智能手机前置摄像头实现自动翻页的系统及方法.zip
模拟技术中的基于LabVIEW平台的多路前置放大器的自动测量系统
11-05
本研究开发了基于LabVIEW平台的多路前置放大器的自动测量系统,可实现多路放大器技术指标的全部自动测量或选项测量.  1 系统功能及组成  1. 1 系统功能  系统能自动测量前置放大器输出信号的电压、增益、带宽、...
Apifox 学习笔记 - 前置操作之:自定义变量给请求参数中使用
灵台方寸山斜月三星洞
10-14 2189
前置操作之:动态更新请求体中的时间戳。环境变量、临时变量怎么创建,右边代码片段中就有例子。
前端进行SHA256withRSA加密及其解密
weixin_41711709的博客
01-18 6515
利用SHA256withRSA进行加密 1.npm installjsrsasign 2.加密 let rsa = new jsrsasign.RSAKey() // new一个RSA对象 const k = `-----BEGIN PRIVATE KEY----- 私钥内容 -----END PRIVATE KEY-----` // SHA256withRSA私钥 rsa = jsrsasign.KEYUTIL.getKey(k) // 将私钥 转成16进.
API 设计/开发/测试工具:Apifox与怎么通过拦截
哈哈
09-24 789
PutMapping("/{id}/house")定义的路径。现在前端还没写好,先把api定义好,我负责写后端代码。例如header必须携带token的 ,需要设置如下。所以微信小程序 会传的参数是json格式。测试的是如下Controller层。GET请求:select方法。POST请求:insert方法。PUT请求:update方法。DELETE请求:删除方法。新建项目、创建一个接口。如果项目设置的有权限。
postman请求前置脚本设置请求头、请求体和请求参数详细说明
04-04
Postman是一款流行的API测试工具,可以通过设置前置脚本自动化测试过程,包括设置请求头、请求体和请求参数。以下是详细说明: 1. 请求请求头用于传递一些附加的信息,如认证信息、内容类型、语言等。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Amos.Sun

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值