接口加密了该怎么测？

对明文编码生成信息摘要，以防止被篡改。比如MD5使用的是Hash算法，无论多长的输入，MD5都会输出长度为128bits的一个串。

摘要算法不要秘钥，客户端和服务端采用相同的摘要算法即可针对同一段明文获取一致的密文。

对称加密

对称加密算法是共享密钥加密算法，在加密解密过程中，使用的密钥只有一个。发送和接收双方事先都知道加密的密钥，均使用这个密钥对数据进行加密和解密。

数据加密：在对称加密算法中，数据发送方将明文 (原始数据) 和加密密钥一起经过加密处理，生成复杂的密文进行发送。

数据解密：数据接收方收到密文后，使用加密的密钥及相同算法的逆算法对加密的密文进行解密，将使其恢复成可读明文。

非对称加密

非对称加密算法，有两个密钥，一个称为公开密钥 (publickey)，另一个称为私有密钥 (private key)，加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。

如果使用公钥对数据进行加密，只有用对应的私钥才能进行解密。
如果使用私钥对数据进行加密，只有用对应的公钥才能进行解密。

常见加密算法的处理方式

根据上述常见的加密算法，测试人员在测试不同的加密接口可采用下述的方法处理加密接口

摘要算法（MD5.SHA1 ）：造接口数据前调用MD5，SHA1进行编码，服务端对比编码后的字符串是否一致。

对称加密算法（AES,DES ）：造接口数据前从开发获取对称公钥，基于对称公钥可以加密请求数据，解密响应报文。

非对称加密算法（RSA）：造接口数据前从开发获取公钥私钥去加密解密接口数据

用户认证

一般的接口测试工具都会提供一个User Auth/Authorization的选项，以Postman为栗子，你可以看到以下的选项：

基本认证（Basic Auth）

摘要认证（Digest Auth）

OAuth 1.0a

OAuth 2.0（最常见，现在的网站接口多数提供此用户认证方式）
在对应的工具上，你可以选取对应的用户认证选项

接口中有数据要进行加密，如何处理？

(1)写个函数或者方法，把要加密的参数使用这个函数过滤一遍，等于就是说把数据丢进去，加密了之后，再通过这个加密好的数据传输过去就可以。

(2)至于用什么加密算法，这个要根据产品和自己的业务场景和需求不管是AES或者公钥私钥也好看自己的选择。

(3)也可能是编码的问题，就直接用base64码把需要传输加密的东西通过base64返回base64码，然后再放进去，然后再进行传输。

(4)这是编码不是加密，真的要加密的话，首先把要用的参数加好密之后再被传输出去，传输的过程中把传输的数据进行一次加密和封装之后再发送过去。

(5)用jmeter做接口测试用post-processor加beanshell进行加密解密，再从日志中查找参数，然后具体的加密算法要看需求。

(6)每个测试工具提供的加密算法是不一样的，工具不一样加密算法也是不一样的。

下面是配套资料，对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴我走过了最艰难的路程，希望也能帮助到你！

最后： 可以在公众号：伤心的辣条！免费领取一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享！，其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

学习不要孤军奋战，最好是能抱团取暖，相互成就一起成长，群众效应的效果是非常强大的，大家一起学习，一起打卡，会更有学习动力，也更能坚持下去。你可以加入我们的测试技术交流扣扣群：914172719（里面有各种软件测试资源和技术讨论）

喜欢软件测试的小伙伴们，如果我的博客对你有帮助、如果你喜欢我的博客内容，请 “点赞” “评论” “收藏” 一键三连哦！

好文推荐

转行面试，跳槽面试，软件测试人员都必须知道的这几种面试技巧！

面试经：一线城市搬砖！又面软件测试岗，5000就知足了…

面试官：工作三年，还来面初级测试？恐怕你的软件测试工程师的头衔要加双引号…

什么样的人适合从事软件测试工作？

那个准点下班的人，比我先升职了…

测试岗反复跳槽，跳着跳着就跳没了…