问题
接口测试中遇到参数需要加密的情况,如登录、修改密码。
现有2个接口:
- 登录接口,Post接口,password加密,参数类型body;
- 修改密码接口,Get接口,orderPassword、newPassword加密,参数类型query;
以上参数都使用RAS进行加密。
在请求过程中发现以下问题:
- 通过接口请求,后端可解密登录接口的password,而修改密码接口参数解密失败。
- 在后端代码中直接调用解密方法,可解密修改密码接口参数。
原因
为何修改密码接口参数解密失败?
修改密码接口的参数类型是query
现有加密方法中是使用Base64.getEncoder()进行加密
byte[] byteContent =Base64.getEncoder().encode(bytes);
处理后的加密串是如下形式:
FuQpqfj51QVMMI/QTPe5FWgOKam+QZYcOvkiWR/QOwhUl6Yux8zYXaRmG8XX2tYVEdqIzlhnsPAoA4BarC54oiefwk9DDdZEVplctDloJY1VsiCmxhTvuPs/gBuP2DiodSLU7IcaEabAGSeIOhVO1DeQMMs7nQYTTn/2NslD6zA=
可以看到加密串中包含有/、+,在URL中这些特殊字符会被重新解析,而不是原文传输到后端,所以导致后端在解密通过Base64.getEncoder()加密过的query参数失败。
为何登录接口参数解密成功?
登录接口的参数类型是body,传输Json数据,以application/json方式进行编码,不会出现加密串在传输过程中被重新解析的问题。
解决方案
使用Base64.getUrlEncoder()(URL 和文件名安全型 base64 编码方案)对query参数进行加密
byte[] byteContent =Base64.getUrlEncoder().encode(bytes);
处理后的加密串是如下形式:
QfCQV2V0MyAS2G8Ja4HNnlpQvv6XZxObRGL3mD2XvB6l2nE8Vb3By_zicKneFiF8Rn5ZDjzPk6AB_4qDMzrbe2ez6cCkR8z_CPCKwt2IGVUnCQtaYdBVFAAkHzgR9L8TS1q--bFAmWLc-exSEAm5moWWH-fCoHYmMP0I4YHG1rA=
加密串中不包含/、+,将加密后的query参数拼接在URL后请求接口,后端成功解密,修改密码成功。
结论
- 对于URL中的RAS加密参数需要使用Base64.getUrlEncoder()进行加密;
- URL中的参数包含中文等特殊字符也可以使用Base64.getUrlEncoder()处理后再进行传输。