Sul*_*phy 11 c# security hmac postman
我正在使用一个示例为 Web API 项目设置 HMAC 身份验证。原始示例源代码/项目可在此处获得:
我试图让 Postman 在它的预请求脚本中构建和发送 GET 请求。但是请求总是以 401 失败,我不知道为什么。
邮递员预请求脚本:
var AppId = "4d53bce03ec34c0a911182d4c228ee6c";
var APIKey = "A93reRTUJHsCuQSHR+L3GxqOJyDmQpCgps102ciuabc=";
var requestURI = "http%3a%2f%2flocalhost%3a55441%2fapi%2fv1%2fdata";
var requestMethod = "GET";
var requestTimeStamp = "{{$timestamp}}";
var nonce = "1";
var requestContentBase64String = "";
var signatureRawData = AppId + requestMethod + requestURI + requestTimeStamp + nonce + requestContentBase64String; //check
var signature = CryptoJS.enc.Utf8.parse(signatureRawData);
var secretByteArray = CryptoJS.enc.Base64.parse(APIKey);
var signatureBytes = CryptoJS.HmacSHA256(signature,secretByteArray)
var requestSignatureBase64String = CryptoJS.enc.Base64.stringify(signatureBytes);
postman.setGlobalVariable("key", "amx " + AppId + ":" + requestSignatureBase64String + ":" + nonce + ":" + requestTimeStamp);
Flo*_*NTI 16
这是我在 Pre-Script 中使用的代码。它适用于任何查询 GET、PUT、POST、DELETE。
您需要更改 AppId 和 APIKey 值,并在最后一行调整环境变量“hmacKey”的名称。
function interpolate (value) {
const {Property} = require('postman-collection');
return Property.replaceSubstitutions(value, pm.variables.toObject());
}
var uuid = require('uuid');
var moment = require("moment")
var hmacPrefix = "hmac";
var AppId = "4d53bce03ec34c0a911182d4c228ee6c";
var APIKey = "A93reRTUJHsCuQSHR+L3GxqOJyDmQpCgps102ciuabc=";
var requestURI = encodeURIComponent(pm.environment.values.substitute(pm.request.url, null, false).toString().toLowerCase());
var requestMethod = pm.request.method;
var requestTimeStamp = moment(new Date().toUTCString()).valueOf() / 1000;
var nonce = uuid.v4();
var requestContentBase64String = "";
var bodyString = interpolate(pm.request.body.toString());
if (bodyString) {
var md5 = CryptoJS.MD5(bodyString);
requestContentBase64String = CryptoJS.enc.Base64.stringify(md5);
}
var signatureRawData = AppId + requestMethod + requestURI + requestTimeStamp + nonce + requestContentBase64String; //check
var signature = CryptoJS.enc.Utf8.parse(signatureRawData);
var secretByteArray = CryptoJS.enc.Base64.parse(APIKey);
var signatureBytes = CryptoJS.HmacSHA256(signature,secretByteArray);
var requestSignatureBase64String = CryptoJS.enc.Base64.stringify(signatureBytes);
var hmacKey = hmacPrefix + " " + AppId + ":" + requestSignatureBase64String + ":" + nonce + ":" + requestTimeStamp;
postman.setEnvironmentVariable("hmacKey", hmacKey);
经过几天的测试,我发现了问题所在。这实际上与 Postman 提供的变量占位符有关。在测试中,占位符 {{$timestamp}} 的表面值传递了一个有效值。当我将签名剥离回来,只用一个片段开始时,我就成功通过了身份验证。当然,直到我将时间戳占位符放回原处。
当我将占位符替换为标头中传递的实际值时,它工作正常。我只能断定,一定有什么额外的角色我看不到。也许在邮差端创建签名时。该问题还扩展到其他占位符,例如 {{$guid}}。
| 归档时间: |
|
| 查看次数: |
19885 次 |
| 最近记录: |