Postman: nginx secure link

В предыдущей статье рассматривался вариант защищённых ссылок, которые предоставляет модуль ngx_http_secure_link_module веб-сервера nginx. В этой статье рассмотрим, как тестировать этот вид ссылок в программе Postman, - как автоматически вычислять md5 хэш от переменных и постоянных параметров.

Динамические параметры Postman

В программе Postman можно использовать переменные, которые могу выступать и частью URL, и значениями параметров запроса. Так ссылка /s/api/v1/auth/?md5=1pzX968MiqPu_ZvYYht5Xg&expires=1704067200 из прошлой статьи с применением переменных должна стать такого вида: /s/api/v1/auth/?md5={{md5}}&expires={{expires}}

Переменные удобно привязывать к настройкам окружения - кнопка с глазом - "Environment quick look". Настройки окружения удобно делать для нескольких инсталляций сайтов (боевой, тестовый, локальный и пр.). В программе Postman просто переключать окружение и отправлять запрос на нужный домен. При этом все прочие параметры запроса остаются и не нужно их менять вручную или создавать дублирующие запросы под каждую инсталляцию сайта. Выглядит это так:

Простые статичные значения параметров можно задать напрямую для каждого окружения. В моём примере так может быть настроено для параметра {{domain}} - это заранее известные, не меняющиеся адреса сайтов (тестового, боевого и прочих - в зависимости от окружения).

Но бывают также динамические значения параметров - те, которые меняются с каждым запросом, зависят от чего-то. В моём примере - это {{expires}} (время по которое будет действительной защищённая ссылка) и {{md5}} (хеш, который вычисляется от набора других параметров).

Динамические значения параметров

В Postman есть встроенный язык программирования (JavaScript), на котором в частности перед выполнением запроса можно производить вычисление значений динамических параметров. Т.е. сначала вычисляем значение параметров, затем они автоматически подставляются в параметры запроса и запрос выполняется с этими вычисленными значениями. Это избавляет от необходимости вручную производить вычисления и подставлять значения в параметры запроса, но заставляет вникнуть в систему работы с динамическими параметрами Postman.

Например, для того, чтобы подставить конкретное значение времени, когда ссылка перестанет действовать, код в Postman будет выглядеть так:

pm.environment.set("expires", 1704067200);

Этот небольшой скрипт нужно вписывать на вкладке Pre-req. в Postman. Подробнее об этом написании скриптов внутри Postman - в документации программы.

Со статическим значением всё понятно. А вот как можно сделать параметр {{expired}} динамическим - через один час после текущего времени:


var timeStamp = Math.round(new Date().getTime() / 1000.) + 3600;  // Plus 1 hour
pm.environment.set("expires", timeStamp);

Получение текущего IP клиента

Одним из параметров для реализации secure link может быть IP адрес клиента. Получить IP адрес компьютера в сети Internet нельзя напрямую из JavaScript. Но выход всё равно есть (если не хочется статично прописать IP), - можно запросить IP адрес на каком-нибудь сайте. Например, на Stackoverflow перечислено множество таких онлайн сервисов. Я тут применил один из них. Так в Postman можно получить IP адрес клиента в Internet:


const requestParams = {
    url: "https://ipapi.co/json/",
    method: "GET",
    header: {
        "cache-control": "no-cache",
        "content-type": "application/json"
    }
}

// Вычисляем текущий IP запросом к внешнему сервису
pm.sendRequest(requestParams, function (err, res) {
    const jsonResponse = res.json();

    let myIp = "127.0.0.1";

    if (!!jsonResponse.ip) {
        myIp = jsonResponse.ip;
    }
});

В результате в JavaScript переменной myIp будет либо реальный внешний адрес компьютера, либо локальный адрес 127.0.0.1 в случае проблем определения.

Формирование md5 в Postman

Теперь переходим к самой сложной части, - как в Postman получить md5 хеш перед каждым запросом. Сложность в том, что функции хеширования алгоритмом md5 - в JavaScript нет. Но есть реализации этого метода в различных библиотеках. Проблема только в том, что внутри Postman мы ограничены в возможностях подключения внешних ресурсов. Но по счастливому стечению обстоятельств в Postman уже подключена библиотека CryptoJS, в которой есть реализация алгоритма md5. В документации библиотеки не так уж полно и ясно освещён момент работы с хешированием md5, - пришлось многое додумывать самостоятельно.

При вычислении хеша для secure link есть хитрости. Сначала надо получить бинарное значение хеша, затем преобразовать его в base64 и в конце ещё сделать замену нескольких специальных символов.

В целом рабочий скрипт Postman для secure link параметров выглядит так:

var timeStamp = Math.round(new Date().getTime() / 1000.) + 3600;
pm.environment.set("expires", timeStamp);

const requestParams = {
    url: "https://ipapi.co/json/",
    method: "GET",
    header: {
        "cache-control": "no-cache",
        "content-type": "application/json"
    }
}

// Вычисляем текущий IP запросом к внешнему сервису
pm.sendRequest(requestParams, function (err, res) {
    const jsonResponse = res.json();

    let myIp = "127.0.0.1";

    if (!!jsonResponse.ip) {
        myIp = jsonResponse.ip;
    }

    const secureLinkForHash = timeStamp +
        "/s/api/v1/auth/" + myIp + " " +
        pm.environment.get("api_secret");

    let md5Hash = CryptoJS.MD5(secureLinkForHash);

    var hash2 = md5Hash.toString(CryptoJS.enc.Base64);

    hash2 = hash2.replace(/=/g, '')
        .replace(/\+/g, '-')
        .replace(/\//g, '_');

    pm.environment.set("md5", hash2);
});

В этом варианте остаётся жестко зафиксированной часть URL - /s/api/v1/auth/ - я уже решил на этом остановиться и эту часть нужно поменять на нужное значение в каждом запросе из коллекции Postman.

Postman - торт

В очередной раз убедился, какая же полезная и удобная программа, этот Postman. Удалось автоматизировать даже вычисление довольно сложного хеша на базе нескольких динамических параметров.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Пропорциональное распределение суммы

Изображение
Есть довольно распространённая потребность в функции, которая могла бы распределять заданную сумму согласно весовым коэффициентам. На первый взгляд, не очень понятно, о чём речь. Приведу примеры. Распределение скидки на заказ Допустим, интернет-магазин предоставляет клиенту скидку на заказ (по бонусной карте, купону или ещё как-то). Скидка даётся на весь заказ, но её действие нужно пропорционально распределить по товарам, чтобы, например, правильно сформировать кассовый чек (в нём каждую позицию чека нужно расписать: цена до применения скидки и сумма с учётом скидки). Пример: 1) Товар №1 - цена 1500 руб. 2) Товар №2 - цена 1700 руб. Итого сумма заказа получается 3200 руб. Допустим, клиенту предоставляется скидка 10%. В данном случае легко посчитать, что скидка в процентах будет одинаковой для каждого товара: 1) Товар №1 - цена со скидкой 1500 - 10% = 1350 руб. 2) Товар №2 - цена со скидкой 1700 - 10% = 1530 руб. Это лёгкий пример, где никакого распределения не потребовалось
Продолжить чтение

Битрикс: своя геолокация

Не так давно (с 17 версии) в битриксе появилась штатная возможность управления геолокацией. Это когда нужно определить географическое положение клиента (по его IP адресу). Например, чтобы переключить интерфейс сайта на нужный язык или показать цены товаров для нужного региона. Так вот битрикс дал не только возможность пользоваться тем что есть, но и возможность прикрутить к этому функционалу собственные обработчики. Кому и зачем могут понадобиться собственные обработчики геолокации? Да всё просто - всем, кому вообще нужна геолокация. Дело в том, что провайдеры геоданных, как показывает практика, долго не живут. Одни закрываются, другие появляются. И так постоянно. Конечно, битрикс не сможет оперативно предлагать новые и новые сервисы в своей поставке. Хотя сейчас из коробки доступны самые популярные сервисы геоданных на данный момент. Есть даже заметка в официальной документации на эту тему. Но, конечно, гораздо подробнее тема раскрывается в неофициальных источниках . Принцип работы Т
Продолжить чтение

Bitrix24 API - разбор демо приложения третьего типа

Изображение
Вводная Пользователям CRM Bitrix24 зачастую хочется передавать накапливаемые в этой системе данные на какой-то сторонний ресурс для дальнейшей их обработки. Так, мне, например, понадобилось наладить экспорт закрытых сделок на сайт, который занимается учётом затрат на производство. В данном случае можно поступить двумя способами: во-первых, можно на стороннем сайте сделать кнопку, которая запрашивала бы из битрикса сделки (пока не рассматриваем реализацию); во-вторых, можно заставить битрикс самостоятельно отправлять данные по сделке сразу при её закрытии (по событию). Второй вариант более привлекателен, - всё работает в реальном времени без участия человека (никаких кнопок для передачи данных нажимать не нужно). Бизнес-процесс Встал вопрос, как реализовать выгрузку данных из битрикс24 по событию. Первый вариант, который я проверял, это сделать отправку через так называемый "бизнес процесс". На момент написания статьи добраться до бизнес процессов стало довольно сложно:
Продолжить чтение