通过Postman实现API网关的请求签名与调试

通过Postman实现API网关的请求签名与调试

1. 前言

Postman是一个非常强大的HTTP发包测试工具, 目前Postman已经提供了Windows/Mac/Linux系统的客户端的下载，使用很方便。不过API网关的调试，需要对HTTP请求进行签名才能调用，无法使用简单的curl等发包工具完成，但我们可以使用Postman工具提供的Pre-request Script脚本来实现API网关的签名功能，实现API的调试功能，本文主要介绍。

2. API网关签名算法介绍

API网关的签名机制详细可以参考官网文档，这里简要介绍一下。

API网关的签名需要通过API网关的AppKey和AppSecret进行，Key/Secret可以在API网关的控制台上获得，并确保API已经发布，并且针对特定的APP做了授权操作。

针对一个普通请求，API网关的签名过程如下

2.1. 添加以下头用于辅助签名与安全认证

- Date: 日期头
- X-Ca-Key：{AppKey} 
- X-Ca-Nonce：API调用者生成的 UUID, 实现防重放功能
- Content-MD5: 当请求Body为非Form表单时，用于校验Body是否被篡改, 

2.2. 组织需要签名的字符串StringToSign

{HTTPMethod} + "\n" + 
{Accept} + "\n" +
{Content-MD5} + "\n" 
{Content-Type} + "\n" + 
{Date} + "\n" + 
{SignatureHeaders} + 
{UrlToSign}

• Accept、Content-MD5、Content-Type、Date 如果为空也需要添加换行符"n"
• 只有From为非表单的方式才需要计算Content-MD5，计算方法为base64Encode(md5(body.getBytes("UTF-8"))
• SignatureHeaders: 以{HeaderName}:{HeaderValue} + "\n"的方式按照字符串顺序从小到大顺序添加, 建议加入签名的头为X-Ca-Key,X-Ca-Nonce, 其他头客户端实现可自行选择是否加入签名。
• UrlToSign: 将所有的Form字段和QueryString字段放在一起按照Name进行排序&#