在日常开发和测试过程中,我们经常会遇到如下场景:
后端服务出于安全性或协议规范的考虑,对 API 的响应体进行了加密或编码处理,例如 Base64 编码、AES/RSA 加密等。这样做在生产环境中是合理且必要的,能够避免敏感数据被明文传输。但与此同时,也为开发和测试阶段的调试带来了不小的麻烦。
图 | Postman无法展示经过base64编码后的原始报文
动态常见场景与必要性
在以下几类系统中,响应体加密尤为常见:
- 金融与支付系统:传输交易报文时要求避免敏感字段泄露;
- IoT 与终端设备交互:设备端往往采用轻量加密机制(如 Base64)以兼容不同平台;
- 内部私有协议:某些中间件或自定义网关服务会约定统一的报文加密方式。
在这些场景下,接口返回的往往是经过编码的“二次封装数据”。例如一个查询接口返回的 JSON 体,在 HTTP 层面看上去只是一段 Base64 字符串。这给调试带来的直接问题是:
- 使用 Postman 等常规工具调试时,只能看到“加密后的报文”,无法直接定位实际返回的 JSON 内容;
- 在排查数据问题或验证接口正确性时,研发/测试人员不得不额外拷贝响应体,再借助外部工具手动解码,效率低下,且易出错。
传统调试工具的局限性
以 Postman 为例,虽然其在请求模拟、环境变量管理等方面功能强大,但在 响应体后处理 上有明显限制:
- Postman 提供的 pm.response.text() 只能获取到原始报文;
- 缺少在响应区直接重置/替换内容的能力,因此无法让调试者在 Postman UI 中直接看到解密后的报文。
换句话说,Postman 只适合作为“发送请求、接收结果”的工具,而在需要对响应体进行解密、转换或重新展示时,功能显得不足。
图 | Postman的pm.response.text()方法
Apipost的方案与思路
相比之下,Apipost 在接口调试场景中提供了更灵活的扩展能力,特别是内置了以下两个方法:
- pm.response.setBody():允许在后执行脚本中 重置响应区展示的内容;
- pm.response.setCode():允许修改响应码,用于模拟不同的响应场景。
这种设计使得我们可以在响应到达后,先获取原始报文,再进行解码或解密,最终将处理后的明文结果重新写回到响应展示区域。这样,研发/测试人员无需切换到其他工具,就能在 Apipost 中直接看到解密后的真实报文。
实践示例
以下代码展示了如何在 Apipost 的 后执行脚本 中实现 Base64 解码,并重置展示报文:- // 获取原始响应报文
- const rawResp = pm.response.text();
- // 使用 CryptoJS 解码 Base64
- const unBase64Resp = CryptoJS.enc.Base64.parse(rawResp).toString(CryptoJS.enc.Utf8);
- // 将解码后的明文报文打印出来(控制台)
- console.log("Raw Response:", rawResp);
- console.log("Decoded Response:", unBase64Resp);
- // 重置响应区展示内容
- pm.response.setBody(unBase64Resp);
执行后,Apipost 的响应区展示的不再是冗长的 Base64 字符串,而是开发人员真正需要查看的 JSON 或明文内容。
图 | Apipost展示最终报文
总结
在 API 响应体经过加密/编码的业务场景下,传统调试工具如 Postman 的局限性会让开发与测试人员陷入低效的“黑盒子”调试。而 Apipost 提供的 pm.response.setBody() 能够有效解决这一痛点:
- 提升调试效率:直接在工具内查看明文结果;
- 降低出错概率:避免人工二次转换;
- 贴合实际需求:支持对各种自定义加密/编码协议进行解码扩展。
在安全性要求越来越高的系统中,这种“后处理解密+重置展示”的能力,将成为研发测试过程中的重要辅助工具。
附:CryptoJS 常见加解码算法示例
- // Apipost 已内置 CryptoJS 对象,直接在前后执行脚本中使用即可。
- /**
- * 1. AES 加密解密 (最常用的对称加密算法)
- * 支持多种模式: CBC, ECB, CTR, OFB, CFB
- */
- function aesExample() {
- const plaintext = "这是一个AES加密测试";
- const key = "1234567890abcdef"; // 密钥,AES-128需要16位,AES-256需要32位
-
- // 加密 (CBC模式,需要IV向量)
- const iv = CryptoJS.enc.Utf8.parse('1234567890abcdef'); // 16位IV向量
- const encrypted = CryptoJS.AES.encrypt(plaintext, CryptoJS.enc.Utf8.parse(key), {
- iv: iv,
- mode: CryptoJS.mode.CBC,
- padding: CryptoJS.pad.Pkcs7
- });
- const encryptedStr = encrypted.toString();
-
- // 解密
- const decrypted = CryptoJS.AES.decrypt(encryptedStr, CryptoJS.enc.Utf8.parse(key), {
- iv: iv,
- mode: CryptoJS.mode.CBC,
- padding: CryptoJS.pad.Pkcs7
- });
- const decryptedStr = decrypted.toString(CryptoJS.enc.Utf8);
-
- console.log("=== AES 加密解密 ===");
- console.log("原始文本:", plaintext);
- console.log("加密后:", encryptedStr);
- console.log("解密后:", decryptedStr);
- console.log("-------------------");
- }
- /**
- * 2. MD5 哈希 (不可逆,常用于密码存储)
- */
- function md5Example() {
- const text = "这是一个MD5哈希测试";
- const hash = CryptoJS.MD5(text).toString();
-
- console.log("=== MD5 哈希 ===");
- console.log("原始文本:", text);
- console.log("哈希结果:", hash); // 32位小写哈希值
- console.log("-------------------");
- }
- /**
- * 3. SHA 系列哈希 (SHA-1, SHA-256, SHA-512)
- */
- function shaExample() {
- const text = "这是一个SHA哈希测试";
-
- const sha1 = CryptoJS.SHA1(text).toString();
- const sha256 = CryptoJS.SHA256(text).toString();
- const sha512 = CryptoJS.SHA512(text).toString();
-
- console.log("=== SHA 系列哈希 ===");
- console.log("原始文本:", text);
- console.log("SHA-1:", sha1);
- console.log("SHA-256:", sha256);
- console.log("SHA-512:", sha512);
- console.log("-------------------");
- }
- /**
- * 4. HMAC 哈希 (带密钥的哈希,用于验证数据完整性)
- */
- function hmacExample() {
- const text = "这是一个HMAC测试";
- const key = "my-secret-key"; // 密钥
-
- const hmacSha256 = CryptoJS.HmacSHA256(text, key).toString();
- const hmacMd5 = CryptoJS.HmacMD5(text, key).toString();
-
- console.log("=== HMAC 哈希 ===");
- console.log("原始文本:", text);
- console.log("HMAC-SHA256:", hmacSha256);
- console.log("HMAC-MD5:", hmacMd5);
- console.log("-------------------");
- }
- /**
- * 5. DES 加密解密 (较旧的对称加密算法)
- */
- function desExample() {
- const plaintext = "这是一个DES加密测试";
- const key = "12345678"; // DES密钥必须是8位
-
- // 加密
- const encrypted = CryptoJS.DES.encrypt(plaintext, CryptoJS.enc.Utf8.parse(key), {
- mode: CryptoJS.mode.ECB,
- padding: CryptoJS.pad.Pkcs7
- });
- const encryptedStr = encrypted.toString();
-
- // 解密
- const decrypted = CryptoJS.DES.decrypt(encryptedStr, CryptoJS.enc.Utf8.parse(key), {
- mode: CryptoJS.mode.ECB,
- padding: CryptoJS.pad.Pkcs7
- });
- const decryptedStr = decrypted.toString(CryptoJS.enc.Utf8);
-
- console.log("=== DES 加密解密 ===");
- console.log("原始文本:", plaintext);
- console.log("加密后:", encryptedStr);
- console.log("解密后:", decryptedStr);
- console.log("-------------------");
- }
- /**
- * 6. RC4 加密解密 (流加密算法)
- */
- function rc4Example() {
- const plaintext = "这是一个RC4加密测试";
- const key = "my-rc4-key";
-
- // 加密
- const encrypted = CryptoJS.RC4.encrypt(plaintext, key);
- const encryptedStr = encrypted.toString();
-
- // 解密
- const decrypted = CryptoJS.RC4.decrypt(encryptedStr, key);
- const decryptedStr = decrypted.toString(CryptoJS.enc.Utf8);
-
- console.log("=== RC4 加密解密 ===");
- console.log("原始文本:", plaintext);
- console.log("加密后:", encryptedStr);
- console.log("解密后:", decryptedStr);
- }
- // 执行所有示例
- aesExample();
- md5Example();
- shaExample();
- hmacExample();
- desExample();
- rc4Example();
如需测试,可在Apipost的脚本中直接粘贴上述代码,然后在控制台看结果。如下图所示:
以上是关于Apipost对API响应体进行加密编码处理的调试实践,会对开发和测试阶段的调试带来极大便利,大家可以试试。
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
