接口測試好做么?用什么來做接口測試合適呢稠腊?
這是剛接觸接口測試的同學(xué)最常問的問題躁染。
個人覺得這個和你在拍照的時候是直接用美圖秀秀里面的濾鏡模式和自己去學(xué)PS后期進行處理圖片的邏輯是一樣一樣的。
在一般的情況下架忌,濾鏡處理出來的和PS出來的效果一樣么吞彤?一樣
但是在妹子需要在背景里面加個城堡,鮮花滿地的時候叹放,或者妹子需要做成女神一樣的特效的時候
濾鏡能處理么饰恕?不能。
PS能處理么井仰?能B袂丁!糕档!就是莉恼,就是,就是速那,學(xué)習(xí)成本稍微高一丟丟俐银。
高的這一丟丟是什么呢?那就是我們經(jīng)常在接口測試中遇到的各種各樣用來守護接口的安全機制問題端仰。
以下圖片自行體會一下 接口測試工具和自行編寫接口測試代碼的區(qū)別捶惜。
美圖秀秀的效果圖:
PS處理的效果圖:
為啥非要費勁的在接口上加上各種復(fù)雜的安全機制呢?
好問題荔烧。
如果你不想自己的信息輕易的被泄露出去吱七,自家網(wǎng)站被攻擊的癱瘓,公司倒閉鹤竭,CEO跑路踊餐,男女朋友分手。臀稚。吝岭。還是乖乖的跟著CC先生看一下接口相關(guān)的安全機制吧。
一般接口開發(fā)中有以下常用的幾種安全機制:
- 用戶認證
- 數(shù)字簽名
- 接口加密
用戶認證
一般的接口測試工具都會提供一個User Auth/Authorization的選項吧寺,以Postman為栗子窜管,你可以看到以下的選項:
- 基本認證(Basic Auth)
- 摘要認證(Digest Auth)
- OAuth 1.0a
- OAuth 2.0(最常見,現(xiàn)在的網(wǎng)站接口多數(shù)提供此用戶認證方式)
在對應(yīng)的工具上稚机,你可以選取對應(yīng)的用戶認證選項幕帆,這里CC先生主要介紹如果用Python如何實現(xiàn)用戶認證。
1 首先安裝Requests庫赖条,Requests庫的get()和post()方法均提供有auth參數(shù)失乾,用于設(shè)置用戶簽名常熙。
2 假定我們有一個接口為添加一個新的公告,接口需要認證:auth=("username","password")
nid 或 name兩個參數(shù)二選一
3 偽代碼:
def test_get_notice_list_nid_sucess(self):
auth_user = ('admin' , 'admin123456')
r = requests.get(self.base_url, auth = auth_user, params = {'nid' : 1})
result = r.json()
self.assertEqual(result['status'], 200)
....
數(shù)字簽名
在使用 HTTP/SOAP 協(xié)議傳輸數(shù)據(jù)的時候仗扬,簽名作為其中一個參數(shù)症概,可以起到關(guān)鍵作用:
先來一個簡單的,通過客戶的密鑰早芭,服務(wù)端的密鑰匹配彼城;
這個很有好理解,例如一個接口傳參為:
http://127.0.0.1:8000/api/?a=1&b=2
假設(shè)簽名的密鑰為:@signpassword
加上簽名之后的接口參數(shù)為:
http://127.0.0.1:8000/sign/?a=1&b=2&sign=@signpassword
但是退个,這樣的sign 參數(shù)明文傳輸是不安全的,一般會選擇一些加密算法募壕,比如MD5 算法(MD5算法是不可逆向的),比如MD5代碼如下:
import hashlib
md5 = hashlib.md5()
sign_str = "@signpassword"
sign_bytes_utf8 = sign_str.encode()
md5.update(sign_bytes_utf8)
sign_md5 = md5.hexdigest()
print(sign_md5)
執(zhí)行后得到:6648e929329e53e7a91c50ae685a88b5
此時帶簽名的接口為:
http://127.0.0.1:8000/sign/?a=1&b=2&sign=6648e929329e53e7a91c50ae685a88b5
所以语盈,當(dāng)服務(wù)器接收到請求后舱馅,同樣需要對“signpassword”進行 MD5 加密,然后刀荒,比對與調(diào)用者傳來的 sign 加密串是否一致代嗤,從而來鑒別調(diào)用者是否有權(quán)限使用該接口。
接著缠借,我們來理解一個復(fù)雜一點的:把sign參數(shù)傳遞為api key(申請獲雀梢恪)+timestramp(時間戳)同樣需要 用代碼來實現(xiàn),原理和上面這個一致的泼返。(偽代碼)
def setUp(self):
self.base_url = "http://127.0.0.1:8000/api/sec_add_notice/"
# app_key
self.api_key = "&APIkey"
# 當(dāng)前時間
now_time = time()
self.client_time = str(now_time).split('.')[0]
# sign
md5 = hashlib.md5()
sign_str = self.client_time + self.api_key
sign_bytes_utf8 = sign_str.encode(encoding="utf-8")
md5.update(sign_bytes_utf8)
self.sign_md5 = md5.hexdigest()
接口加密
通常接口會使用更復(fù)雜一點的方式來進行加密的操作硝逢,常見的是AES的使用,放一張圖讓大家感受一下AES加解密的過程:
詳細的過程可以參見http://www.mamicode.com/info-detail-514466.html 或者自行百度绅喉。
Python里面有一個很好的黑魔法渠鸽,叫PyCrypto庫,支持常見的 DES柴罐、AES 加密以及 MD5徽缚、SHA 各種 HASH 運算。(官方網(wǎng)站下載最新版本:https://www.dlitz.net/software/pycrypto/
另外革屠,也可以在 PyPi 倉庫中下載安裝:https://pypi.python.org/pypi/pycrypto)
對于AES的加密來說猎拨,看一下用了PyCrypto庫的結(jié)果
加密:
from Crypto.Cipher import AES
# 加密
obj = AES.new('This is a key123', AES.MODE_CBC, 'This is an IV456')
message = "The answer is no"
ciphertext = obj.encrypt(message)
print(ciphertext)
程序運行后的結(jié)果為:b'\xd6\x83\x8dd!VT\x92\xaa`A\x05\xe0\x9b\x8b\xf1'
AES加密里面有兩個關(guān)鍵,一個是key(必須為16,24,32位)屠阻,一個是VI(必須為16位)
解密:解謎者必須要同時知道key和VI才可以解密
obj2 = AES.new('This is a key123', AES.MODE_CBC, 'This is an IV456')
s = obj2.decrypt(ciphertext)
print(s)
===
So,接口加密測試的關(guān)鍵就在于開發(fā)小哥哥們用了什么加密算法來加密接口。你用相同的加密算法來加密你要發(fā)送的值 即可额各。
CC先生說国觉,現(xiàn)在有很多的公司也把加密的算法直接封裝成一個類或者一個接口,也就是測試的時候虾啦,你直接調(diào)用加密的類或者加密的接口即可完成你的加密工作麻诀。剩下的接口測試和以往沒加密的接口測試一樣沒兩樣了痕寓。
附送一個Pypi庫里一堆加密算法庫的鏈接,自扔铡:
https://pypi.python.org/pypi?%3Aaction=search&term=crypt&submit=search
