接口加密了该怎么测?
对明文编码生成信息摘要,以防止被篡改。比如MD5使用的是Hash算法,无论多长的输入,MD5都会输出长度为128bits的一个串。
摘要算法不要秘钥,客户端和服务端采用相同的摘要算法即可针对同一段明文获取一致的密文。
对称加密
对称加密算法是共享密钥加密算法,在加密解密过程中,使用的密钥只有一个。发送和接收双方事先都知道加密的密钥,均使用这个密钥对数据进行加密和解密。
数据加密:在对称加密算法中,数据发送方将明文 (原始数据) 和 加密密钥一起经过加密处理,生成复杂的密文进行发送。
数据解密:数据接收方收到密文后,使用加密的密钥及相同算法的逆算法对加密的密文进行解密,将使其恢复成可读明文。
非对称加密
非对称加密算法,有两个密钥,一个称为公开密钥 (publickey),另一个称为 私有密钥 (private key),加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。
如果使用公钥对数据进行加密,只有用对应的私钥才能进行解密。
如果使用私钥对数据进行加密,只有用对应的公钥才能进行解密。
常见加密算法的处理方式
根据上述常见的加密算法,测试人员在测试不同的加密接口可采用下述的方法处理加密接口
摘要算法(MD5.SHA1 ):造接口数据前调用MD5,SHA1进行编码,服务端对比编码后的字符串是否一致。
对称加密算法(AES,DES ):造接口数据前从开发获取对称公钥,基于对称公钥可以加密请求数据,解密响应报文。
非对称加密算法(RSA):造接口数据前从开发获取公钥私钥去加密解密接口数据
用户认证
一般的接口测试工具都会提供一个User Auth/Authorization的选项,以Postman为栗子,你可以看到以下的选项:
基本认证(Basic Auth)
摘要认证(Digest Auth)
OAuth 1.0a
OAuth 2.0(最常见,现在的网站接口多数提供此用户认证方式)
在对应的工具上,你可以选取对应的用户认证选项
接口中有数据要进行加密,如何处理?
(1)写个函数或者方法,把要加密的参数使用这个函数过滤一遍,等于就是说把数据丢进去,加密了之后,再通过这个加密好的数据传输过去就可以。
(2)至于用什么加密算法,这个要根据产品和自己的业务场景和需求不管是AES或者公钥私钥也好看自己的选择。
(3)也可能是编码的问题,就直接用base64码把需要传输加密的东西通过base64返回base64码,然后再放进去,然后再进行传输。
(4)这是编码不是加密,真的要加密的话,首先把要用的参数加好密之后再被传输出去,传输的过程中把传输的数据进行一次加密和封装之后再发送过去。
(5)用jmeter做接口测试用post-processor加beanshell进行加密解密,再从日志中查找参数,然后具体的加密算法要看需求。
(6)每个测试工具提供的加密算法是不一样的,工具不一样加密算法也是不一样的。
下面是配套资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!
最后: 可以在公众号:伤心的辣条 ! 免费领取一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享!,其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。
学习不要孤军奋战,最好是能抱团取暖,相互成就一起成长,群众效应的效果是非常强大的,大家一起学习,一起打卡,会更有学习动力,也更能坚持下去。你可以加入我们的测试技术交流扣扣群:914172719(里面有各种软件测试资源和技术讨论)
喜欢软件测试的小伙伴们,如果我的博客对你有帮助、如果你喜欢我的博客内容,请 “点赞” “评论” “收藏” 一键三连哦!
好文推荐
转行面试,跳槽面试,软件测试人员都必须知道的这几种面试技巧!
面试经:一线城市搬砖!又面软件测试岗,5000就知足了…
面试官:工作三年,还来面初级测试?恐怕你的软件测试工程师的头衔要加双引号…
什么样的人适合从事软件测试工作?
那个准点下班的人,比我先升职了…
测试岗反复跳槽,跳着跳着就跳没了…
接口加密了该怎么测?相关推荐
- 【网络安全】记一次接口加密测试
前言 之前接到一个接口测试项目,就提供了一个demo源码和接口设计文档,文档里一共有15个接口. 本来以为接口测试,只要把参数拼接上去测测就ok了(数据是json格式),但看到设计文档里说数据又得做签 ...
- 【全栈接口测试进阶系列教程】入门到入职的jmeter接口测试工具实战,接口测试步骤,正则表达式jsonpath,断言,接口加密,beanshell,jdbc,jmeter+ant+jenkins
目录 [本文简介看之前请详细的看完介绍] 本文是全网首发的[全栈接口测试进阶系列教程]jmeter接口测试工具从入门到入职, 接口系列包含 接口测试系列包含所有的接口测试工具入门到入职,如果你喜欢的话 ...
- api接口加密_谈谈API接口开发中的安全性如何解决
如今各种API接口层出不穷,一个API的好与不好可以从很多方面来考量,其中"安全性"就是一个API接口最基本也是最重要的一个特点.本文就来跟大家聊聊关于API接口开发的安全性问题. ...
- php开发api数据加密,php-app开发接口加密
这篇文章主要为大家详细介绍了php-app开发接口加密规则,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 自己平时工作中用到的一套接口加密规则,记录下来以后用: /** inc 解析接口 客户端接 ...
- 开放接口加密方案_27种开放式解决方案,适用于所有教育
开放接口加密方案 开放(从开源软件到开放硬件,再到开放原则)正在改变教育的范式. 因此,为庆祝今年的一切,我收集了2017年在Opensource.com上发表的有关该主题的27篇最佳文章. 我将它们 ...
- api接口加密_接口加密如何测试?
摘要算法: 对明文编码生成信息摘要,以防止被篡改.比如MD5使用的是Hash算法,无论多长的输入,MD5都会输出长度为128bits的一个串. 摘要算法不要秘钥,客户端和服务端采用相同的摘要算法即可针 ...
- 小红书接口加密参数X-sign
小红书接口加密参数X-sign 文章目录 小红书接口加密参数X-sign 前言 一.抓包获取参数 总结 前言 因为工作需要,开始对小红书动手,因为app端风险高,小程序端也能获取基本需求,所以从小程序 ...
- 接口加密(TokenSpringCloud项目中进行token认证)
文章目录 接口加密 常见加密算法 消息摘要算法 常用摘要算法(MD5.SHA.CRC) 对称加密 常用对称加密算法(DES.3DES.AES) 非对称加密 常用的非对称加密算法(RSA.DSA.ECC ...
- 开放平台API接口加密,签名策略
在设计开放平台接口过程中,往往会涉及接口传输安全性相关的问题,笔者在详细的查阅大量资料后,结合自身的过往经验,对于接口加密及签名的相关知识做了一个系统性的总结,在方便自己查阅的同时也分享给大家做一些参 ...
最新文章
- 剑指offer_第15题_反转链表_Python
- 采用TurboGate邮件网关防止企业邮箱被盗用
- 镜像浏览器_Docker 企业级私有镜像仓库 Harbor 部署
- 人脸识别的过程和算法
- WEB文件上传之JQuery ajaxfileupload插件使用(二)
- Go 语言里怎么正确实现枚举?答案藏着官方的源码里
- 经典商务未来科技海报PSD分层模板,以后绝对用得上
- 微信公众平台消息接口开发(27)彩票查询
- smokeping的启动脚本
- DMTF云计算开放管理标准内容
- getting start with storm 翻译 第六章 part-4
- 自定义 Bean 作用域
- 教你怎么录制电脑内部发出的声音
- JAVA课程设计坦克大战源码
- 这些痛,只有程序员懂…
- 论文方法步骤:Knowledge-Enriched Transformer for Emotion Detection in Textual Conversations
- 数据仓库数据存储与处理
- 宝塔linux如何防护,使用宝塔面板的CC***防护策略
- 另类数据:跟踪期货高手持仓策略(完整录播)
- 雷军:做互联网需7字诀