前言
目前postman和apifox默认支持的函数库都不包含RSA算法加解密的功能,所以一旦涉及到RSA算法加密的逻辑,会让接口的调用变得十分麻烦。手动把加密后的值算出来再放到参数值中这种做法成本太高,我们可以通过前置脚本的方式来解决这个问题。
方式一:公共脚本+自定义脚本
这种方式的核心思路就是先去网上找合适的RSA算法js函数库,把js文件直接放入到公共脚本中,从而让apifox有了使用rsa函数的能力,后面我们再新建一个接口的前置脚本,在脚本中使用rsa函数库的api进行加密。
步骤一:找一个合适的RSA算法
这里推荐使用jsencrypt或者forge,这两个算法的下载路径如下:
-
jsencrypt:https://passport.cnblogs.com/scripts/jsencrypt.min.js (看着似乎也是个人开发者上传的) -
forge:https://raw.githubusercontent.com/loveiset/RSAForPostman/master/forge.js(可能需要翻墙) -
forge:https://lzq1357.gitee.io/various/forge_min.js(forge国内的下载链接,个人开发者上传的)
在浏览器中选择任一函数库的下载链接进行打开,复制js文件中的所有内容,我这里是选择了第三个链接来使用。
步骤二:把函数库文件放到公共脚本中
在前置操作中新建公共脚本
在前置操作中新建公共脚本
把步骤一复制的代码都粘贴到脚本内容中
image.png
这里需要注意,在apifox中,为了避免变量名污染,所以全局变量需要把
var forge=改为gorge=,也就是去掉最前面的var
apifox文档说明
步骤三:新建自定义脚本,用于实现RSA最终加密的逻辑
说一下这里的代码思路,先从请求体中拿到password1变量(我们提前把明文放在这个变量里面),然后下面使用forge函数库对password1变量的值进行加密,最后把加密后的值放在环境变量password中
//Pre-request Script
var body = JSON.parse(pm.request.body.raw);
const password1 = body.password1;
const publicKey = "MF4wDQYJKoZIhvcNAQEBBQADTQAwSgJDANHGsKiSMV0deGczOo3FTaLgspcnxqPmrney4bm25RbAAe4Q/taR1mS/wywzw5L1+6vhJO4hJFk8fHZeyclVeMxSvQIDAQAB"
function encryptRsa(encrypt_key, clearText){
console.info('cleartext: ' + clearText);
//注意此处上下的BEGIN PRIVATE KEY不要删除,框架自带的
const public_key = '-----BEGIN PUBLIC KEY-----\n'
+ encrypt_key
+ '\n-----END PUBLIC KEY-----';
var publicKey = forge.pki.publicKeyFromPem(public_key);
var buffer = forge.util.createBuffer(clearText, 'utf8');
var bytes = buffer.getBytes();
var encryptedText = forge.util.encode64( publicKey.encrypt(bytes, 'RSAES-PKCS1-V1_5', {
md: forge.md.sha256.create(),
mgf1: {
md: forge.md.sha1.create()
}
})
);
console.info('encryptedText: '+ encryptedText);
return encryptedText;
};
//------------------以下内容根据需要修改定义,可以加密多个字段------------------------//
var password = encryptRsa(publicKey, password1);
pm.environment.set("password", password);
步骤四:传入参数,运行接口
image.png
方式二:使用在线下载函数库的方式来进行加解密
整体思路如下,首次调用接口时,前置脚本代码会自行去指定url上面下载相关的js文件,并将js文件文本内容放入到全局变量中。在第二次调用接口时,前置脚本会从全局变量中获取加密函数对象,并进行加密,最后将加密的结果存放到reaBody变量中。
这种方式相对比较简单,不过个人会更喜欢方式一,因为把函数库放在公共脚本中,管理会更方便可控。
//Pre-request Script
//--------------以下为需要加密的内容,可以根据需求定义多个------------------//
var clearText = '{"arg1":"abc","arg2":123,"arg3":4.56}'; //对应{{rsaBody}}的明文
// var clearText = '{"arg1":"def","arg2":123,"arg3":7.89}';
//---------------------------------------------------------------------//
const encrypt_key = '(密钥复制到此处)';
const forge_url = 'https://lzq1357.gitee.io/various/forge_min.js';
//forge_min.js来自:https://raw.githubusercontent.com/loveiset/RSAForPostman/master/forge.js
//---------------------------------------------------------------------//
function encryptRsa(encrypt_key, clearText){
console.info('cleartext: ' + clearText);
//注意此处上下的BEGIN PRIVATE KEY不要删除,框架自带的
const public_key = '-----BEGIN PUBLIC KEY-----\n'
+ encrypt_key
+ '\n-----END PUBLIC KEY-----';
var publicKey = forge.pki.publicKeyFromPem(public_key);
var buffer = forge.util.createBuffer(clearText, 'utf8');
var bytes = buffer.getBytes();
var encryptedText = forge.util.encode64( publicKey.encrypt(bytes, 'RSAES-PKCS1-V1_5', {
md: forge.md.sha256.create(),
mgf1: {
md: forge.md.sha1.create()
}
})
);
console.info('encryptedText: '+ encryptedText);
return encryptedText;
};
// 第一次运行时从网络加载forgeJS,会导致请求失败
if(!pm.globals.has('forgeJS')){
console.log('request forge.js from ' + forge_url);
pm.sendRequest(forge_url, function (err, res) {
if (err) {
console.error(err);
} else {
console.info("request forgs.js: Succeed, please try again");
//注意:Pre-request Script中出现报错,可能会导致pm.globals.set失效
pm.globals.set('forgeJS', res.text());
}
}
);
return;
}
eval(pm.globals.get('forgeJS'));
//------------------以下内容根据需要修改定义,可以加密多个字段------------------------//
var encryptedText = encryptRsa(encrypt_key, clearText);
postman.setEnvironmentVariable("rsaBody", encryptedText); //rsaBody对应Body中{{}}
需要注意的是,如果是使用postman 的话,最后存放变量的操作是postman.setEnvironmentVariable("key", value);
如果是使用apifox的话,最后的脚本是pm.environment.set("key", value);
