java代码怎么使用evalsha_如何在Postman里对参数进行SHA1WithRSA数字签名

最新推荐文章于 2024-06-19 15:39:30 发布
最新推荐文章于 2024-06-19 15:39:30 发布
阅读量472 收藏 3
点赞数
文章标签: java代码怎么使用evalsha
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42297591/article/details/114941950
版权

如何在Postman里对请求参数进行数字签名

需求场景:最近做的一个支付网关项目,基于http协议接受请求参数,因此想到用postman来做联调和场景测试,postman的参数管理和请求分组编排比较方便。

但是请求需要做数字签名,也就是说要在发送请求之前对请求做加密签名处理。

问题所在:

postman自带的加密函数是cryptoJS,不能满足数字RSA-SHA1签名,即java里的SHA1WithRSA

因此需要接入第三方库,这里找到两个forge.js和jsrsasign.js

postman的接入方式

签名代码的编写方式

要找到java里的SHA1WithRSA对应的js里加密签名的实现方式,这个地方很不好确认。SHA1WithRSA叫法是java里的,在jsrsasign里也叫SHA1WithRSA,

但在forge里就是sha1,这里是一点点试验出来的。如果还不能解决,只能使用openssl加密,但学习曲线就比较麻烦了,这是万不得已之选。

postman的接入方式

postman似乎没有很好的接入第三方库的方式,postman自身设计很庞大了,几十兆的安装包和几百兆的运行内存,实际上就是一个node环境的ide了。但接入方式有限。

接入方式大概有两种:

1.将js文件内容设置为global变量,eval执行js,但是这种方案似乎会导致很卡,我没有尝试

2.提供一个可以访问到js的web地址,如将js文件放到一个nginx下面,通过postman 发送请求获取js,设置为gloable变量,然后eval

这里选择的第二种方案。可以看到,这两种方案本质上都是设置为全局变量,然后eval执行js,这就要求js得打包支持eval,如果js文件打包有问题,或者像jsrsasign

不提供打包成一个js文件的,就很难接入。

软件环境

postman:

nodeJS

引入步骤及相关代码

下载forge.js,地址forge.js

下载nginx,将forge.js放到html目录下(ng都是默认的设置)

打开postman,在pre-script里输入如下代码:

console.log(pm.globals.has("forgeJS"));

if(!pm.globals.has("forgeJS")){

pm.sendRequest("http://127.0.0.1/forge.js", function (err, res) {

if (err) {

console.log(err);}

else {

pm.globals.set("forgeJS", res.text());}

})}

eval(pm.globals.get("forgeJS"));

// console.log(pm.globals.get("forgeJS"));

//注意此处上下的BEGIN PRIVATE KEY不要删除,框架自带的

const private_key = '-----BEGIN PRIVATE KEY-----\n' +

'此处填写你的密钥字符串' +

'-----END PRIVATE KEY-----'

var privKey = forge.pki.privateKeyFromPem(private_key);

const md = forge.md.sha1.create();//这里的sha1对应的java的SHA1WithRSA

let _buffer='这里填写需要加密的参数串';

md.update(_buffer,"utf8");

let sig = privKey.sign(md);

let erg = forge.util.encode64(sig);

console.log("Signature is: "+erg);

其他问题记录

这里出现过一个问题,我通过forge官方的打包教程,自己通过npm install了forge,自己打包,最后打的包有问题,eval一直不成功。后来是直接用github上他们

自己提供的已打包好的forge.js才成功了。此处,替换前,需要删除错误的js文件全局变量,使用代码: pm.globals.unset("forgeJS");

加密方式自己多尝试

相关资料

cryptoJS

forge.js

jsrsasign

nodejs或openssl

https://www.zhihu.com/question/43367849

RSA-SHA1 和 SHA1WithRSA 是不是一样的(我感觉是一样的)

crypto 模块不过是 OpenSSL 的 wrapper

想知道 crypto 支持什么算法,就去看 OpenSSL 的文档, man openssl(所以crptoJS也是支持SHA1的?)

完整代码:

let param = request.data;

console.log(param);

let paramStr = "";

// param.time = (new Date()).getTime().toString();

param = objSort(param);

console.log(param)

for (let i in param) {

if (i == "sign" || i == "sign_type") {

continue;

}

paramStr += i+"="+param[i] +"&";

}

paramStr = paramStr.substring(0, paramStr.length - 1);

console.log(paramStr);

function objSort(obj)

{

let keys = Object.keys(obj).sort();

let arr = {};

for (let i in keys) {

arr[keys[i]] = obj[keys[i]];

}

return arr;

}

// pm.globals.unset("forgeJS");

console.log(pm.globals.has("forgeJS"));

if(!pm.globals.has("forgeJS")){

pm.sendRequest("http://www.xxx.cn/forge.js", function (err, res) {

if (err) {

console.log(err);}

else {

pm.globals.set("forgeJS", res.text());}

})}

eval(pm.globals.get("forgeJS"));

// console.log(pm.globals.get("forgeJS"));

// eval(postman.getGlobalVariable("forgeJS"));

const private_key = '-----BEGIN PRIVATE KEY-----\n' +

'yourrivatekey' +

'-----END PRIVATE KEY-----'

// console.log(forge);

//encrypt text "plaintext"

var privKey = forge.pki.privateKeyFromPem(private_key);

const md = forge.md.sha1.create();

let _buffer='api_name=zhk.trade.query&app_auth_token=201603BBaf2dfb9a12954f09b7d356bd6b19bD26&biz_content={"inst_no":"18100001","mch_id":"1099219021210321","out_trade_no":"1543740545622","pay_type":"WECHAT"}&charset=UTF-8&service_name=yunzongxinxi&sign_type=RSA&timestamp=1458896291111&version=1.0';

md.update(paramStr,"utf8");

let sig = privKey.sign(md);

let erg = forge.util.encode64(sig);

console.log("Signature is: "+erg);

爱尔兰KEN
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java redis evalsha_redis的lua使用EVALSHA
weixin_42112685的博客
02-24 841
redis 127.0.0.1:6379> SCRIPT LOAD "local list=redis.call('KEYS', KEYS[1] .. '*') return (table.getn(list))""fdece9fbf98e91fe138eb2fcc5a6f0fbd24c90f9"redis 127.0.0.1:6379> EVALSHA fdece9fbf98e91f...
postman系列之接口参数签名
henglin的专栏
07-05 1352
在对外发布的接口中,基本上都会涉及到对接口字段进行签名加密,以防篡改。签名基本也都类似,比如: 1、请求字段先进行排序,拼接成字符串 2、再对字符串进行...
ScriptEngine
人生的意義在於修煉!修煉之路~
07-22 109
import javax.script.ScriptEngine; import javax.script.ScriptEngineManager; import javax.script.ScriptException; public class ScriptEngineTest { public static void main(String[] args) { Scr...
Postman轻松签名,让SHA256withRSA保驾护航
最新发布
yjt2045263063的博客
06-19 983
在接口测试中,我们经常需要对请求进行签名,以保证数据的安全性。而SHA256withRSA是一种较为常见的签名算法,它可以使用私钥对数据进行签名,使用公钥进行验签。但是,实现该算法签名可能会涉及到一些繁琐的操作,给我们的工作带来不小的困扰。今天,我要向大家介绍一个神器——Postman,它可以轻松完成SHA256withRSA签名的实现,让您的API请求得到更加完善的保护。
Postman生成签名(排序,Hmac,SHA1,Base64)
05-12 3846
Postman生成签名(排序,Hmac,SHA1,Base64)
java redis evalsha_Redis Evalsha 命令
weixin_33430573的博客
02-24 397
Redis Evalsha 命令Redis Evalsha 命令根据给定的 sha1 校验码,执行缓存在服务器中的脚本。将脚本缓存到服务器的操作可以通过 SCRIPT LOAD 命令进行。这个命令的其他地方,比如参数的传入方式,都和 EVAL 命令一样。语法redis Evalsha 命令基本语法如下:redis127.0.0.1:6379>EVALSHAsha1numkeyske...
java8_redis_postman工具包.zip
10-31
Java 8、Redis 和 Postman 是现代Web开发中不可或缺的工具,它们分别在后端编程、数据存储和API测试方面发挥着重要作用。本压缩包文件提供了这三个关键组件的基础安装程序,便于用户快速搭建开发环境。 1. **Java 8...
postman_64 postman_64postman_64postman_64
03-18
postman_64postman_64
Http带签名测试_HTTP协议_postman_
10-02
1. **构建请求**:在Postman中,你可以手动输入或导入URL,选择相应的HTTP方法,然后添加请求头,包括签名所需的键值对。 2. **动态构造签名**:Postman的预处理器和断言功能可以帮助你动态计算签名。预处理器脚本...
zgydy.rar_chinese postman_lingo_中国邮递员_欧拉_邮递员
07-14
使用lingo进行求解时,用户需要根据实际情况调整模型参数,比如节点数量、边的权重等,然后运行程序得到最优解。 总的来说,中国邮递员问题是一个实际与理论结合紧密的问题,通过欧拉路径的理论和lingo等优化工具,...
【Python+requests】使用requests模块对post接口进行测试,与Postman代码比较
01-20
康爱多大药房的登录接口。 ...请求方式:post 功能说明:登录 登录成功:{“Code”:”1″,”Result”:true,”Message”:”登录成功!...参数1 userNam 用户名,必填 参数2 pass 密码,必填 参数3 isRemberName 是否记
javaeval函数实现
喜欢编程の小匣子
07-08 2542
今天在一本书上看到eval(String str)函数,它是javascript的一个函数,其作用是执行str这个字符串包含的内容。如: [code="java"]var stra=textbox_name.value+".value=10;";[/code] 把一个textbox_name的value和字符串组成一个新的字符串,假如其值是abc。那么将有一下结果: [code="java"...
使用node-forge pki进行RSA加密
weixin_43260489的博客
05-09 3804
先放npm官方文档:www.npmjs.com/package/node-forge 在知道RSA加密的大致原理后,再往下看 使用例子 简单写个方法: // 引入依赖 import forge from 'node-forge'; // base64转换(一般公钥私钥生成都是经过base64转换处理) const encode64 = str => forge.util.encode64(str); // 加密的方法,入参是:待加密文本,公钥,是否需要转化为Pem格式 const encrypted
Java 使用 RSA算法 进行前后端加密解密
m0_61341973的博客
05-16 1121
ts前端使用forge的RSA算法対密码进行加密,Java后端进行解密 .forge还支持ED25519 RSA,RSA-KEM,X.509,PKCS#5,PKCS#7等多种算法的加密解密。
Javascript扰码_拔剑-浆糊的传说_新浪博客
拔剑—浆糊的传说
01-16 150
一个javascript的加密工具 http://www.aspxhome.com/download/javascript/20079/165222.htm JAVASCRIPT加密解密终级指南 http://www.yuanma.org/data/2006/0818/article_1373.htm ...
利用redis + lua解决抢红包高并发的问题
热门推荐
横云断岭的专栏
02-20 13万+
抢红包的需求分析 抢红包的场景有点像秒杀,但是要比秒杀简单点。 因为秒杀通常要和库存相关。而抢红包则可以允许有些红包没有被抢到,因为发红包的人不会有损失,没抢完的钱再退回给发红包的人即可。 另外像小米这样的抢购也要比淘宝的要简单,也是因为像小米这样是一个公司的,如果有少量没有抢到,则下次再抢,人工修复下数据是很简单的事。而像淘宝这么多商品,要是每一个都存在着修复数据的风险,那如果出故障了则很麻烦...
Redis evalsha 命令
weixin_30773135的博客
04-18 3088
相当于根据sha1校验码,执行缓存在服务器的一段代码。 这个命令的使用方法类似eval——参数的传入方式等等 使用需要redis版本 >= 2.6.0 语法 *> evalsha sha1 numkeys [key ...] [arg ...] sha1: 通过script load生成的sha1校验码 numkeys :指定键名参数的个数 [key ...] :键名参数。脚本中使用...
使用postman对请求自动加签名 拿来即用
u011786674的博客
12-02 1469
PostMan 自动加签 拿来即用 对post 请求中参数进行排序,加签,再赋值给参数sign 1、打开 Pre-request Script 窗口,写入代码 2、post请求参数配置 3、代码如下 let param = request.data; //post 参数 //排序 param = objSort(param); var paramStr = ""; var flag = false; var time = (new Date()).getTime().to.
postman使用RSA进行加密
日常积累的技术分享
05-26 2416
在接口测试或者性能测试中,经常会遇到要对数据进行加密的情况。本文主要介绍的是利用RSA加密的情况
postman raw带文件_Postman使用MD5加密签名的两种方法
05-19
Postman是一种流行的API测试工具,它提供了多种方式进行API测试。其中,使用MD5加密签名是一种常见的API安全验证方法。下面介绍两种使用MD5加密签名的方法: 方法一:使用Pre-request Script 在Postman中,可以使用Pre-request Script来添加MD5加密签名。 1. 首先需要在Pre-request Script中定义一个函数来计算MD5签名,如下所示: ``` function md5(string) { var crypto = require('crypto'); return crypto.createHash('md5').update(string).digest('hex'); } ``` 2. 接下来,在请求的Header中添加一个名为“X-Signature”的Header。 3. 在Pre-request Script中,使用以下代码计算MD5签名并将结果赋值给“X-Signature”Header: ``` var secret = 'your-secret-key'; var body = request.data; var timestamp = Date.now(); var stringToSign = secret + JSON.stringify(body) + timestamp; postman.setEnvironmentVariable('X-Signature', md5(stringToSign)); ``` 4. 将“secret”替换为你自己的密钥,然后发送请求即可。 方法二:使用Postman Collection Runner 另一种方法是使用Postman Collection Runner。这种方法可以自动化测试多个API,并在测试过程中使用MD5签名。 1. 首先,在请求的Header中添加一个名为“X-Signature”的Header。 2. 然后,在请求的Body中添加一个名为“timestamp”的字段,并将其设置为当前时间戳。 3. 接下来,在Postman Collection Runner中,选择“Pre-request Script”选项卡,然后添加以下代码: ``` function md5(string) { var crypto = require('crypto'); return crypto.createHash('md5').update(string).digest('hex'); } var secret = 'your-secret-key'; var body = request.data; var timestamp = Date.now(); var stringToSign = secret + JSON.stringify(body) + timestamp; postman.setEnvironmentVariable('X-Signature', md5(stringToSign)); ``` 4. 将“secret”替换为你自己的密钥,然后运行Collection Runner即可。 无论使用哪种方法,都应该能够成功使用MD5加密签名进行API测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值