通过Postman实现API网关的请求签名与调试
1. 前言
Postman是一个非常强大的HTTP发包测试工具, 目前Postman已经提供了Windows/Mac/Linux系统的客户端的下载,使用很方便。不过API网关的调试,需要对HTTP请求进行签名才能调用,无法使用简单的curl
等发包工具完成,但我们可以使用Postman工具提供的Pre-request Script脚本来实现API网关的签名功能,实现API的调试功能,本文主要介绍。
2. API网关签名算法介绍
API网关的签名机制详细可以参考官网文档,这里简要介绍一下。
API网关的签名需要通过API网关的AppKey和AppSecret进行,Key/Secret可以在API网关的控制台上获得,并确保API已经发布,并且针对特定的APP做了授权操作。
针对一个普通请求,API网关的签名过程如下
2.1. 添加以下头用于辅助签名与安全认证
- Date: 日期头
- X-Ca-Key:{AppKey}
- X-Ca-Nonce:API调用者生成的 UUID, 实现防重放功能
- Content-MD5: 当请求Body为非Form表单时,用于校验Body是否被篡改,
2.2. 组织需要签名的字符串StringToSign
{HTTPMethod} + "\n" +
{Accept} + "\n" +
{Content-MD5} + "\n"
{Content-Type} + "\n" +
{Date} + "\n" +
{SignatureHeaders} +
{UrlToSign}
- Accept、Content-MD5、Content-Type、Date 如果为空也需要添加换行符"n"
- 只有From为非表单的方式才需要计算Content-MD5,计算方法为
base64Encode(md5(body.getBytes("UTF-8"))
- SignatureHeaders: 以
{HeaderName}:{HeaderValue} + "\n"
的方式按照字符串顺序从小到大顺序添加, 建议加入签名的头为X-Ca-Key
,X-Ca-Nonce
, 其他头客户端实现可自行选择是否加入签名。 - UrlToSign: 将所有的Form字段和QueryString字段放在一起按照
Name
进行排序&#