jmeter壓測學習34-簽名sign(BeanShell 預處理程序)

前言

一般公司對外的接口都會用到sign簽名，對不同的客戶提供不同的apikey ,這樣可以提高接口請求的安全性，避免被人抓包后亂請求。
之前講過用python代碼實現sign簽名，這次介紹jmeter上如何實現sign簽名，思路都是差不多的。

sign簽名

簽名參數sign生成的方法

• 第1步: 將所有參數（注意是所有參數），除去sign本身，以及值是空的參數，按參數名字母升序排序。
• 第2步: 然后把排序后的參數按參數1值1參數2值2…參數n值n（這里的參數和值必須是傳輸參數的原始值，不能是經過處理的，如不能將"轉成”后再拼接）的方式拼接成一個字符串。
• 第3步: 把分配給接入方的驗證密鑰key拼接在第2步得到的字符串key。
• 第2步: 在上一步得到的字符串后面加上驗證密鑰key(這里的密鑰key是接口提供方分配給接口接入方的)，然后計算md5值，得到32位字符串，然后轉成大寫.
• 第4步: 計算第3步字符串轉小寫后得到的md5值(32位)，得到的字符串作為sign的值。

假設傳輸的數據是http://www.xxx.com/interface.aspx?sign=sign_value&p2=v2&p1=v1&method=cancel&p3=&pn=vn
（實際情況最好是通過post方式發送），
其中sign參數對應的sign_value就是簽名的值。
第一步，拼接字符串，首先去除sign參數本身，然后去除值是空的參數p3，剩下p2=v2&p1=v1&method=cancel&pn=vn，
然后按參數名字符升序排序，method=cancel&p1=v1&p2=v2&pn=vn.
第二步，然后做參數名和值的拼接，最后得到methodcancelp1v1p2v2pnvn
第三步，在上面拼接得到的字符串后加上驗證密鑰key，我們假設是abc，得到新的字符串methodcancelp1v1p2v2pnvnabc
第四步，然后將這個字符串換為小寫進行md5計算，假設得到的是abcdef，這個值即為sign簽名值。
注意，計算md5之前請確保接口與接入方的字符串編碼一致，如統一使用utf-8編碼或者GBK編碼，如果編碼方式不一致則計算出來的簽名會校驗失敗。

python實現sign簽名

先根據簽名文檔，了解簽名規則，認真閱讀上面的簽名規則（並不是每個接口都是一樣的簽名規則，這里只是舉個例子）。
我們假設提供的apikey為12345678，請求的body參數為

body = {
    "username": "test",
    "password": "123456",
    "mail": "",
    "sign": "簽名后的值"
}

使用python實現簽名

import hashlib
# 上海-悠悠 QQ交流群：717225969


apikey = "12345678"  # 驗證密鑰，由開發提供

body = {
    "username": "test",
    "password": "123456",
    "mail": ""
}

# 列表生成式，生成key=value格式
a = ["".join(i) for i in body.items() if i[1] and i[0] != "sign"]
print(a)
# 參數名ASCII碼從小到大排序
strA = "".join(sorted(a))
print(strA)

# 在strA后面拼接上apiKey得到striSignTemp字符串
striSignTemp = strA+apikey

# 將strSignTemp字符串轉換為小寫字符串后進行MD5運算

# MD5加密
def jiamimd5(src):
    m = hashlib.md5()
    m.update(src.encode('UTF-8'))
    return m.hexdigest()

sign = jiamimd5(striSignTemp.lower())
print(sign)

# 得到sign簽名后新的body值
body["sign"] = sign
print(body)

運行結果

['usernametest', 'password123456']
password123456usernametest
1aca01806e93bb408041965a817666af
{'username': 'test', 'password': '123456', 'mail': '', 'sign': '1aca01806e93bb408041965a817666af'}

jmeter 添加 BeanShell 預處理程序

先定義全局變量，用戶名和密碼，mail參數先不管，設置為空

請求參數引用變量

添加 BeanShell 預處理程序

sign 簽名

在 BeanShell 預處理程序 添加sign 簽名的代碼，java代碼水平有限沒做非空判斷和排序，手動讀取用戶名和密碼兩個變量的值。
手動排序后拼接簽名的key,最后md5加密

import org.apache.commons.codec.digest.DigestUtils;    //導入md5加密的包

String a = "username" + vars.get("user");  
log.info(a);
String b = "password" + vars.get("password");
log.info(b);
String key = "12345678";
log.info(key);

// 排序后拼接字符串
c = b+a+key;
log.info(c);

// md5加密
String md5_after = DigestUtils.md5Hex(c);   // md5加密
log.info(md5_after);
// 添加到變量sign
vars.put("sign", md5_after)

運行后，查看日志簽名值：1aca01806e93bb408041965a817666af

使用 vars.put(varname, value) 方法添加簽名后的值給到sign變量

引用sign變量

BeanShell 預處理程序 會在發送請求執行執行，在請求之前就已經對請求參數簽名了，獲取sign變量的值就可以了

運行后可以看到請求參數簽名成功