OpenApi一般都有簽名手销,在對接的時候歇僧,不管文檔寫得多么完善,總是會有人不明白锋拖,所以可以提供一個Postman的Collection诈悍,里面包含了簽名邏輯
整體思路
- 每個對接方分配一對appKey和appSecret,其中appSecret不能泄露
- 每個請求需要appKey, timestamp以及signature
- 根據(jù)請求信息(method, url, body) + appSecret生成signature
請求樣例
- 請求URL如下
https://www.tenmao.com/hello/world?app_key={{appKey}}&signtime={{timestamp}}&signature={{signature}}
ps: 因為歷史原因兽埃,這里的簽名信息放在URL里面侥钳,其實最好還是放在header
簽名Pre-request-Script
let timestamp = new Date().getTime().toString();
//從環(huán)境變量讀取appKey和appSecret
const appKey = pm.environment.get("appKey")
const appSecret = pm.environment.get("appSecret")
console.log(`基本信息: appKey=${appKey}, appSecret=${appSecret}, timestamp=${timestamp}`)
if (!appKey || !appSecret) {
//如果不存在就直接拋出異常,這樣就會彈出錯誤信息柄错,同時不會再執(zhí)行請求
throw new Error("請先在環(huán)境變量中配置appKey和appSecret")
}
//計算簽名 - 獲取計算簽名的數(shù)據(jù)
var method = request.method;
var canonicalUrl = pm.request.url.getPath();
var data = pm.request.body.raw;
if (!data) {
data = "";
}
var message = method.toLowerCase() + "\n"
+ encodeURIComponent(canonicalUrl) + "\n"
+ data;
//計算簽名 - 第一次摘要(針對時間戳)
var signKey = CryptoJS.HmacSHA1(timestamp, appSecret).toString(CryptoJS.enc.Hex);
console.log("timestamp:" + timestamp + ", appSecret:" + appSecret + ",signKey:" + signKey)
//計算簽名 - 第二次摘要(計算最終簽名)
var signature = CryptoJS.HmacSHA1(message, signKey).toString(CryptoJS.enc.Hex);
console.log(`簽名信息: \nmessage=${message}\nsignKey=${signKey}\nsignature=${signature}`)
//簽名信息設(shè)置到環(huán)境變量
pm.environment.set("timestamp", timestamp)
pm.environment.set("signature", signature)
script中關(guān)鍵點
- 環(huán)境變量:
pm.environment.get("appKey"),pm.environment.set("timestamp", timestamp) - ES6引入的字符串格式化語法:
appKey=${appKey}, appSecret=${appSecret}, timestamp=${timestamp} - 異常提醒:
throw new Error("請先在環(huán)境變量中配置appKey和appSecret") - 簽名計算:
CryptoJS.HmacSHA1(timestamp, appSecret).toString(CryptoJS.enc.Hex)
