Python环境下接口测试加密鉴权的解决办法

最新推荐文章于 2024-05-17 12:00:07 发布
最新推荐文章于 2024-05-17 12:00:07 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: PYTHON
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43886252/article/details/102840692
版权

最近工作中在测试WebApi的时候遇到了鉴权,验证的场景,涉及到获取token,加密验签等问题。

主要使用python的Hashlib库和request库,前者可以处理信息加密和摘要,后者完成Http收发。

首先介绍一下这段时间学习下来自己对于加密加签的理解:
对称加密(AES):用同一段密文进行加密解密,得到相同的值
非对称加密(RSA):双方各执一对密钥,私钥和公钥,然后双方互换公钥:本地留存客户端私钥和服务器公钥,服务器留存服务器私钥和客户端公钥,发送时使用私钥加密,接收方用发送方的公钥解密,返回报文使用接收方私钥加密,发送方收到后使用接收方的公钥解密。此类加密方式多用于验签。

在此总结一下几个常用请求参数的生成代码:

一. Nonce&Uuid生成

由于两者生成方法近似,故放在一起说,
Nonce:number once,即只被使用一次的随机整数。
Uuid:Universally Unique Identifier,全局唯一标识符
两者都是随机数,但是用处不同。

import hashlib
def getNonce():
	#根据当前时间生成随机戳
    md5str = hashlib.md5()
    md5str.update((str(int(time.time() * 1000)) + str(random.random)).encode())
    nonce = md5str.hexdigest()
    return nonce
def getRandomUuid(length):
	#生成指定长度的UUID,也可以使用randomuuid库生成
    i = 0
    charList = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz"
    uuid = ""
    while(i<length):
        uuid += charList[random.randint(0,61)]
        i += 1
    return uuid
二.MD5生成

MD5: MessageDigest 消息摘要

md5 = hashlib.md5()
md5.update(####KEY####)
result = md5.hexdigest()
三.获取Token

此过程就是向指定token服务器发送个人信息然后获取返回的token。

def getToken(token_url):
    randomUuid = getRandomUuid(32)
    md5 = hashlib.md5()
    md5.update((appId + appSecret + randomUuid).encode("utf-8"))
    SignatureStr = md5.hexdigest()
    req = \
    {
    	xxxx: xxxx  #视token接口而定
        "randomUuid": randomUuid,
        "SignatureStr": SignatureStr,
    }
    try:
        res = requests.post(token_url, json=req)
    except:
        return "token got error , please ensure the network situation."
    print(res.status_code)
    token = res.json()['Token'] #视token接口而定
    print('token: ' + token)
    return token
四.加密加签解密验签

这几个功能如果要实现必须是本地加密加签逻辑与发送方服务器完全一致,我遇到的情况是:后台服务是springcloud,用的是Keygenerate库使用SecureRandom生成唯一随机数,用这个随机数来SHA256加密的方法来加签,这种情况下,python的随机数无法实现这样的要求,因此产生的结果就是:python加签验签自成了一套体系,我能validate自己的sign,但是与服务器无法结合。(如果服务端加密逻辑简单的话就可以实现)
实现博文地址:
Python3.7基于hashlib和Crypto实现加签验签功能

因此,针对这个方法,此处提出一种解决思路,即复用java的加密逻辑。另提供两种解决办法:
第一种方法使用JPYPE库调jar包的class。
第二种方法起一个本地加密服务来返回签名和加密数据。

方法1实现步骤:
  1. 组jar包,包含sign,validate,encrypt,decrypt等class
  2. 代码中调用:
import JPype
jpath = JPype.getDefaultJVMPath()#取系统默认JVM路径
JPype.JVMStart(jpath)
Jsign = JPype.Jclass('com.xxx')#从jar包里找要的class

sign = Jsign(data,privateKey)
.....
方法2实现步骤:
  1. 新建一个springboot项目
  2. 新建一个controller来路由请求和服务函数
    下面例子中函数中固定了默认的私钥公钥路径,因此不做传入。
package com.XXX.controller;
import com.XXX.SourceCode.*;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class XXXcontroller {
    @GetMapping("/info")
    public String welcomeService(){
        return "welcome to XXX service.";
    }
    @GetMapping("/encrypt")
    public String encryptService(@RequestParam(name = "data") String data,@RequestParam(name = "key") String key){
        String encryptedData = "";
        try {
            encryptedData = XXX.encrypt(data, key);
        }catch (Exception e){System.out.println(e);return e.getMessage();}
        return encryptedData;
    }
    @GetMapping("/decrypt")
    public String decryptService(@RequestParam(name = "data") String data,@RequestParam(name = "key") String key){
        String decryptedData = "";
        try {
            decryptedData = XXX.decrypt(data, key);
        }catch (Exception e){System.out.println(e);return e.getMessage();}
        return decryptedData;
    }
    @GetMapping("/sign")
    public String signService(@RequestParam(name = "data") String data){
        String sign = "";
        try{
            sign = XXX.sign(data);
        }catch (Exception e){return e.getMessage();}
        return sign;
    };

    @GetMapping("/validate")
    public String validateService(@RequestParam(name = "sign") String sign,@RequestParam(name = "data") String data){
        String validate = "";
        try{
            validate = XXX.validate(sign,data);
        }catch (Exception e){return e.getMessage();}
        return validate;
    };
}
  1. 运行服务
  2. http请求访问服务
实现了加密和鉴权的功能之后再做自动化的接口测试就水到渠成了。
clkai
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PyPI 官网下载 | tencentcloud-sdk-python-iot-3.0.264.tar.gz
01-16
7. **测试套件**:为了保证SDK的稳定性和正确性,通常会包含单元测试和集成测试,开发者可以运行这些测试来验证SDK的功能。 使用腾讯云物联网Python SDK,开发者可以轻松实现以下功能: - **设备管理**:注册和...
Python使用接口的cookie和token及session鉴权方式
qq_41130705的博客
07-19 1887
前言:今天咱们来学习下使用Python来做cookie和token及session鉴权方式,我们将通过几个简单的例子来快速学习上手
二、python 鉴权(客户端验证)
yiwenrong的博客
09-29 809
二、鉴权 HTTPBasicAuth鉴权 鉴权就是有些动作必须登录之后才有权限操作,如jenkins必须登录之后才能构建项目,jenkins用的鉴权方式是basic_auth,具体使用如下: 导入 from requests.auth import HTTPBasicAuth requests.post(url, data={}, auth=(‘用户名’, ‘密码’)) ...
Python中HTTP基本身份验证的实现
weixin_73725158的博客
05-14 348
Python中实现HTTP基本身份验证,通常涉及到在HTTP请求头中加入一个经过Base64编码的用户名和密码。这种身份验证方法是一种简单的认证机制,用于确认客户端有权限访问受保护的资源。库提供了便捷的方式来实现HTTP基本身份验证,使得与需要身份验证的HTTP服务进行交互变得简单而高效。之外,你还可以手动构建包含Base64编码用户名和密码的。# 发送带有基本身份验证的GET请求。# 创建HTTP基本身份验证对象。库来实现HTTP基本身份验证。"请求成功,状态码:""请求失败,状态码:"
从入门到精通:接口自动化测试中加密、解密和Sign签名的完整指南
mashangtt的博客
05-10 1817
在进行接口自动化测试时,加密、解密和sign签名是非常重要的步骤。这些过程可以保证传输的数据安全性,并防止恶意攻击。下面将介绍如何使用Python实现接口自动化测试中的加密、解密和sign签名。
全网最详细,Python接口自动化测试接口加密实战,框架撸码.......
m0_70102063的博客
04-16 583
如果接口测试仅仅只是掌握一些requests或者其他一些功能强大的库的用法,是远远不够的,还需要具有根据公司的业务以及需求去定制化一个接口自动化测试框架能力。接口测试用例分析通过与产品经理、项目经理、研发总监等对接后得知待测业务范围、业务场景用例、业务接口分析,从而确定公司的测试计划。将测试计划与质量需求结合进行分析,就可以开始进行业务用例的设计,而接口测试用例分析,也在其内。接口测试封装思想接口封装思想主要分为3个大维度,配置、接口封装、业务流程。其中配置主要用作根据配置文件获取初始配置和依赖;
7 个值得收藏的 Python 身份验证库
大模型研究中心
10-25 88
在数字化转型时代,每一个数据字节都成为潜在的金矿,保护数据变得至关重要。将数字领域视为一座古老的宫殿,虽然里面装饰着宝藏(读:数据),但大门(读:身份验证)决定了谁能进去,谁会被驱赶。
ecshop话费充值接口
06-18
8. **测试与调试**:接口开发完成后,需进行单元测试、集成测试以及压力测试,确保接口的稳定性和性能。同时,使用调试工具协助查找和修复问题。 9. **性能优化**:考虑到可能会有大量的并发请求,接口设计时应考虑...
微信小程序python服务端wxapppython-master.zip
09-25
Python作为后端服务端语言,能够为微信小程序提供数据处理、业务逻辑支持和接口服务。在这个名为"wxapppython-master.zip"的压缩包中,很可能包含了一个完整的微信小程序Python服务端项目。 该项目的核心组成部分...
大厂55道题及参考答案
10-09
【大厂55道题及参考答案】涵盖了多个IT领域的知识点,主要集中在数据库管理、SQL查询、脚本语言、Linux命令、HTTP协议以及接口测试等方面。以下是对这些知识点的详细解释: 1. **ES(Elasticsearch)与 MongoDB 的...
生成GSM身份验证三元组(根据3GPPTS55.205)_Python_.zip
04-04
3. **Kc**:这是一个64位的密钥,同样由RAND和AK计算得出,用于在空中接口加密用户数据和控制信息。 **鉴权密钥AK**:AK是运营商为每个SIM卡生成的密钥,它不直接在网络中传输,而是用于计算SRES和Kc。AK的计算...
python接口自动化测试之API接口测试加密解密)
weixin_36330442的博客
01-05 584
很多公司都开放对外的API,测试时候我们一般用postman,jmeter等工具可以简单上手,但是对于复杂的流程有时候就不太友好了。公私钥我们传的也是base64字符串,所以要用base64.b64decode()转成字节串。多个API接口之间是有业务关系的,例如我调用一个接口需要另一个接口返回的值。API如果是做支付相关的业务,每次调用接口订单号这个字段要做参数化处理。方法中返回的加密数据我们一定义为base64格式的字符串。测试,用上一章我们获取的公私钥加秘 再解密。安装 pycryptodome。
python接口测试的学习记录day10——pytest自动化测试框架之接口加密
weixin_42833736的博客
07-15 2181
通常出于安全性考虑,防止数据被恶意窃取,开发会对接口参数进行加密加密方式有很多种,例如MD5、Base64、RSA双密钥加密方式等,下面我们以MD5加密方式的登录接口为例,此接口对密码进行了加密,如果测试时直接使用未加密的原密码去测试接口得到的肯定是无法登录成功的。因此我们加上加密,就可以得到加密后的数据了......
python解密md5_python接口自动化测试二十七:加密与解密MD5、base64
weixin_39717865的博客
12-05 177
# MD5加密# 由于MD5模块在python3中被移除# 在python3中使用hashlib模块进行md5操作import hashlibdef MD5(str):# 创建md5对象hl = hashlib.md5()hl.update(str.encode(encoding='utf-8'))return hl.hexdigest()# 将小写字母切换成大写# return hl.hexdi...
Python实现各种加密接口加解密不说难
12-16 5243
Hi,大家好。我们在接口自动化测试项目中,有时候需要一些加密。今天给大伙介绍Python实现各种加密接口加解密再也不愁。 目录 一、项目加解密需求分析 二、Base64加密 三、MD5加密 四、sha1加密 五、secrets加密 六、Python加密库PyCryptodome 七、RSA加密 八、总结 一、项目加解密需求分析 1、网络数据传输面临的问题 网络安全涉及很多方面,而网络数据的安全传输通常会面临以下几方面的威胁。 数据窃听与机密性:怎样保证数据不...
(12)使用python进行token鉴权处理
Annlin_的博客
03-30 2838
python进行token鉴权处理
Python处理HTTP请求中的身份验证与授权
weixin_73725158的博客
05-06 248
HTTP请求中的身份验证与授权机制允许服务器确认请求者的身份,并基于该身份授予相应的访问权限。通过选择合适的身份验证和授权机制,并使用Python提供的库和工具来简化处理过程,我们可以有效地保护Web应用免受未经授权的访问和攻击。在HTTP请求中,常见的身份验证方式包括基本身份验证(Basic Authentication)、摘要身份验证(Digest Authentication)以及基于令牌的身份验证(如JWT、OAuth等)。而处理更复杂的身份验证方式,如OAuth,可能需要使用专门的库(如。
Python进行HTTP认证和授权
weixin_73725158的博客
04-03 435
总结来说,Python提供了丰富的库和工具来简化HTTP认证和授权的过程。无论是基本认证还是OAuth 2.0等更复杂的授权机制,我们都可以利用Python的灵活性和强大功能来轻松实现。HTTP认证和授权是Web开发中不可或缺的部分,它们确保只有经过验证和授权的用户才能访问特定的资源。在Python中,我们可以使用不同的库来处理各种授权机制。在上面的代码中,我们首先导入了必要的库和模块。最后,我们使用访问令牌发送一个GET请求,并检查响应的状态码来确定授权是否成功。在上面的代码中,我们首先导入了。
Python中HTTP请求中的身份验证和授权机制
最新发布
weixin_73725158的博客
05-17 389
Python中发送HTTP请求时,经常需要处理身份验证和授权,以确保请求的安全性和合法性。身份验证是确认用户身份的过程,而授权则是确定用户是否有权执行某个操作。以下是Python中HTTP请求中常见的身份验证和授权机制。这通常涉及客户端从服务器获取令牌,并在后续的请求中包含该令牌。令牌可以是简单的API密钥,也可以是更复杂的JWT(JSON Web Tokens)等。基本身份验证是最简单的身份验证方式之一,它通过在HTTP请求头中包含用户名和密码(通常使用Base64编码)来实现。
python接口测试-分节版
10-16
python接口测试-分节版

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值