常见的接口参数加密包含对称加密包含AES安全性高，性能好，广泛用于敏感数据加密，DES/3DES（已逐步被淘汰，安全性较低）；非对称加密包含RSA广泛用于数字签名和密钥交换，ECC（椭圆曲线加密）安全性更高，密钥更短；哈希算法加密包含MD5（已不推荐用于安全场景，易碰撞），SHA-256/SHA-3安全性更高，广泛用于数据完整性校验；还有数字签名加密RSA-SHA256生成签名，HMAC基于密钥的哈希消息认证。

根据不同的实际应用场景，比如API接口中的参数加密对称加密速度快适合大量数据，非对称加密适合密钥交换，哈希用于验证数据完整性，数字签名用于身份认证等。

在我们进行自动化测试或者手动测试时，发现接口参数被加密了，不知道怎么构造请求或者验证响应。这时候，作为测试从业者就需要知道如何获取加密方式，生成正确的参数，以及如何处理加密后的响应数据。

一、明确加密逻辑

沟通开发：

获取加密算法（如AES、RSA、HMAC等）、密钥、加密模式（如CBC/ECB）和填充方式（如PKCS7）。

确认参数加密范围（仅值？整个JSON？URL参数？）。

是否需要动态参数（时间戳、随机数Nonce）参与加密或签名。

文档或代码：

查看接口文档中的加密规则（如签名生成方式）。

直接参考开发提供的加密工具类或示例代码。

二、使用工具生成加密参数

(1) 代码生成

Python示例

# AES加密from Crypto.Cipher import AESimport def aes_encrypt(data: str, key: str, iv: str) -> str: cipher = AES.new(key.encode(), AES.MODE_CBC, iv.encode()) pad_data = data + (AES.block_size - len(data) % AES.block_size) * chr(AES.block_size - len(data) % AES.block_size) encrypted = cipher.encrypt(pad_data.encode()) return .b64encode(encrypted).decode()# HMAC-SHA256签名import hmacimport hashlibdef hmac_sign(data: str, secret: str) -> str: return hmac.new(secret.encode(), data.encode(), hashlib.sha256).hexdigest()

(2) 工具辅助

Postman：

在Pre-request Script中编写加密逻辑（支持CryptoJS）。

// Postman AES加密示例const CryptoJS = require('crypto-js');const data = 'raw_data';const key = CryptoJS.enc.Utf8.parse('密钥');const iv = CryptoJS.enc.Utf8.parse('IV');const encrypted = CryptoJS.AES.encrypt(data, key, { iv: iv, mode: CryptoJS.mode.CBC });pm.environment.set('encrypted_data', encrypted.toString());

三、测试环境简化处理

Mock解密服务：

让开发提供测试环境的解密接口，直接传入加密参数获取明文。

# 调用解密接口示例（伪代码）response = requests.post("http://test-env/decrypt", data={"encrypted": encrypted_data})decrypted_data = response.json()["data"]

固定测试密钥：

测试环境使用预置密钥（如test_key_123），避免频繁更换。

关闭加密开关：

测试环境通过配置临时关闭加密（仅限内部测试）。

四、处理动态参数

时间戳：

固定时间戳（如1620000000），或使用开发提供的免校验模式。

随机数（Nonce）：

使用UUID或固定值（如test_nonce），或调用开发提供的Nonce生成接口。

签名防重放：

若接口校验签名时效性，需在测试脚本中动态生成时间戳和签名。

五、自动化测试集成

封装加密函数：

将加密/签名方法封装为公共模块，供所有测试用例调用。

密钥管理：

使用环境变量或密钥管理服务（如Vault）存储密钥，避免硬编码。

# 从环境变量获取密钥import oskey = os.getenv('API_SECRET_KEY')

参数化测试数据：

测试用例中维护明文数据，运行时动态加密。

# 测试数据文件（data.yaml）cases: - name: 用户登录 plain_data: {"user": "test", "pwd": "123456"} encrypted_field: "data" # 需要加密的字段名

六、 解密响应验证

响应内容解密：

若返回数据被加密，需先解密再断言。

def test_api_response(): response = call_api() encrypted_data = response.json()['data'] decrypted_data = aes_decrypt(encrypted_data, key, iv) # 解密函数 assert "success" in decrypted_data

签名校验：

验证服务端返回的签名是否合法（防止伪造响应）。

def verify_sign(response_data, server_sign): local_sign = hmac_sign(response_data, secret_key) assert local_sign == server_sign

常见问题排查

测试加密接口的核心步骤

理清规则明确加密算法、密钥、动态参数逻辑。

工具化将加密/签名封装为可复用的函数或工具。

解耦数据测试用例维护明文，运行时动态加密。

灵活Mock利用测试环境特性简化加密流程。

安全协作密钥通过安全渠道传递，避免泄露。