夜雨聆风
为保障传输数据安全,多数系统会对接口请求、响应参数进行加密。测试人员无法直接使用明文调试接口,本文简洁梳理加密接口的处理方式、工具操作、测试要点及常见问题,适配日常工作与面试使用。
测试加密接口前,必须明确加密逻辑,禁止盲目试错,需确认以下核心信息:
1.1 加密基础信息
加密算法:对称加密(AES、SM4)、非对称加密(RSA、SM2)、摘要签名(MD5、SHA256)。
加密范围:区分全参数加密或手机号、密码等敏感字段加密。
关键秘钥信息:获取密钥、偏移量、盐值,区分固定密钥和动态密钥。
编码与规则:常见Base64、十六进制编码,确认加密模式、补码方式。
加解密位置:一般为前端加密、后端解密。
1.2 获取资料方式
对接开发,索要加密工具类、算法规则;
查阅接口文档,明确加密要求;
通过抓包工具分析加密前后参数规律。
2.1 对称加密
使用同一密钥加解密,速度快,为业务接口主流加密方式。手工测试可使用在线加密工具;Postman、JMeter通过前置脚本自动加密,无需手动计算密文。
2.2 非对称加密
公钥加密、私钥解密,安全性高,多用于敏感数据。测试人员使用开发提供的公钥加密参数,私钥由后端保管,测试不可触碰。
2.3 签名加密
不可逆加密,用于防篡改。将明文参数+盐值按规则排序拼接,生成sign签名。测试时必须严格遵循拼接顺序,同时校验篡改参数后签名是否失效。
2.4 动态密钥加密
密钥随时间、token动态变化,常见于支付、登录接口。测试需编写脚本同步时间戳,实现密钥自动刷新,重点测试密钥过期拦截逻辑。
Postman:前置脚本实现明文自动加密,后置脚本解密响应数据,密钥存入环境变量统一管理。
JMeter:引入加密jar包,使用JSR223元件调用加密方法,适配批量压测。
自动化测试:直接复用开发加密工具类,保证测试与生产加密逻辑一致。
4.1 基础功能测试
正常密文请求校验业务正常;明文请求需被接口拦截,校验基础加密管控能力。
4.2 异常加密测试
篡改密文、使用错误密钥、传入空密文,校验后端容错能力,判断是否能识别非法密文并拦截。
4.3 安全合规测试
开展防重放测试,校验过期密文无法重复请求;抓包确认传输无明文敏感数据,保障数据安全。
5.1 常见问题解决
解密报错多为加密模式、补码格式不一致;签名失败需严格复刻参数排序;动态密钥过期需同步服务器时间;自动化报错需直接引用官方加密工具类。
5.2 测试注意事项
严禁私自关闭生产加密逻辑;密钥、盐值做好保密脱敏;区分测试、生产环境密钥;兼容APP、小程序等多客户端加密逻辑。
六、总结
加密接口测试核心流程为:摸清规则、复刻加密、业务测试、安全校验。测试人员无需精通底层算法,只需熟练掌握加密复刻、工具使用、异常测试。在保障业务正常的前提下,重点验证接口防篡改、防重放能力,确保数据传输安全合规。
