在日常开发和测试过程中,我们经常会遇到如下场景:
后端服务出于安全性或协议规范的考虑,对 API 的响应体进行了加密或编码处理,例如 Base64 编码、AES/RSA 加密等。这样做在生产环境中是合理且必要的,能够避免敏感数据被明文传输。但与此同时,也为开发和测试阶段的调试带来了不小的麻烦。
图 | Postman无法展示经过base64编码后的原始报文
动态常见场景与必要性
在以下几类系统中,响应体加密尤为常见:
-
金融与支付系统:传输交易报文时要求避免敏感字段泄露;
-
IoT 与终端设备交互:设备端往往采用轻量加密机制(如 Base64)以兼容不同平台;
-
内部私有协议:某些中间件或自定义网关服务会约定统一的报文加密方式。
在这些场景下,接口返回的往往是经过编码的“二次封装数据”。例如一个查询接口返回的 JSON 体,在 HTTP 层面看上去只是一段 Base64 字符串。这给调试带来的直接问题是:
-
使用 Postman 等常规工具调试时,只能看到“加密后的报文”,无法直接定位实际返回的 JSON 内容;
-
在排查数据问题或验证接口正确性时,研发/测试人员不得不额外拷贝响应体,再借助外部工具手动解码,效率低下,且易出错。
传统调试工具的局限性
以 Postman 为例,虽然其在请求模拟、环境变量管理等方面功能强大,但在 响应体后处理 上有明显限制:
- Postman 提供的
pm.response.text()只能获取到原始报文; - 缺少在响应区直接重置/替换内容的能力,因此无法让调试者在 Postman UI 中直接看到解密后的报文。
换句话说,Postman 只适合作为“发送请求、接收结果”的工具,而在需要对响应体进行解密、转换或重新展示时,功能显得不足。
图 | Postman的pm.response.text()方法
Apipost的方案与思路
相比之下,Apipost 在接口调试场景中提供了更灵活的扩展能力,特别是内置了以下两个方法:
pm.response.setBody():允许在后执行脚本中 重置响应区展示的内容;pm.response.setCode():允许修改响应码,用于模拟不同的响应场景。
这种设计使得我们可以在响应到达后,先获取原始报文,再进行解码或解密,最终将处理后的明文结果重新写回到响应展示区域。这样,研发/测试人员无需切换到其他工具,就能在 Apipost 中直接看到解密后的真实报文。
实践示例
以下代码展示了如何在 Apipost 的 后执行脚本 中实现 Base64 解码,并重置展示报文:
// 获取原始响应报文
const rawResp = pm.response.text();// 使用 CryptoJS 解码 Base64
const unBase64Resp = CryptoJS.enc.Base64.parse(rawResp).toString(CryptoJS.enc.Utf8);// 将解码后的明文报文打印出来(控制台)
console.log("Raw Response:", rawResp);
console.log("Decoded Response:", unBase64Resp);// 重置响应区展示内容
pm.response.setBody(unBase64Resp);
执行后,Apipost 的响应区展示的不再是冗长的 Base64 字符串,而是开发人员真正需要查看的 JSON 或明文内容。
图 | Apipost展示最终报文
总结
在 API 响应体经过加密/编码的业务场景下,传统调试工具如 Postman 的局限性会让开发与测试人员陷入低效的“黑盒子”调试。而 Apipost 提供的 pm.response.setBody() 能够有效解决这一痛点:
-
提升调试效率:直接在工具内查看明文结果;
-
降低出错概率:避免人工二次转换;
-
贴合实际需求:支持对各种自定义加密/编码协议进行解码扩展。
在安全性要求越来越高的系统中,这种“后处理解密+重置展示”的能力,将成为研发测试过程中的重要辅助工具。
附:CryptoJS 常见加解码算法示例
// Apipost 已内置 CryptoJS 对象,直接在前后执行脚本中使用即可。/*** 1. AES 加密解密 (最常用的对称加密算法)* 支持多种模式: CBC, ECB, CTR, OFB, CFB*/
function aesExample() {const plaintext = "这是一个AES加密测试";const key = "1234567890abcdef"; // 密钥,AES-128需要16位,AES-256需要32位// 加密 (CBC模式,需要IV向量)const iv = CryptoJS.enc.Utf8.parse('1234567890abcdef'); // 16位IV向量const encrypted = CryptoJS.AES.encrypt(plaintext, CryptoJS.enc.Utf8.parse(key), {iv: iv,mode: CryptoJS.mode.CBC,padding: CryptoJS.pad.Pkcs7});const encryptedStr = encrypted.toString();// 解密const decrypted = CryptoJS.AES.decrypt(encryptedStr, CryptoJS.enc.Utf8.parse(key), {iv: iv,mode: CryptoJS.mode.CBC,padding: CryptoJS.pad.Pkcs7});const decryptedStr = decrypted.toString(CryptoJS.enc.Utf8);console.log("=== AES 加密解密 ===");console.log("原始文本:", plaintext);console.log("加密后:", encryptedStr);console.log("解密后:", decryptedStr);console.log("-------------------");
}/*** 2. MD5 哈希 (不可逆,常用于密码存储)*/
function md5Example() {const text = "这是一个MD5哈希测试";const hash = CryptoJS.MD5(text).toString();console.log("=== MD5 哈希 ===");console.log("原始文本:", text);console.log("哈希结果:", hash); // 32位小写哈希值console.log("-------------------");
}/*** 3. SHA 系列哈希 (SHA-1, SHA-256, SHA-512)*/
function shaExample() {const text = "这是一个SHA哈希测试";const sha1 = CryptoJS.SHA1(text).toString();const sha256 = CryptoJS.SHA256(text).toString();const sha512 = CryptoJS.SHA512(text).toString();console.log("=== SHA 系列哈希 ===");console.log("原始文本:", text);console.log("SHA-1:", sha1);console.log("SHA-256:", sha256);console.log("SHA-512:", sha512);console.log("-------------------");
}/*** 4. HMAC 哈希 (带密钥的哈希,用于验证数据完整性)*/
function hmacExample() {const text = "这是一个HMAC测试";const key = "my-secret-key"; // 密钥const hmacSha256 = CryptoJS.HmacSHA256(text, key).toString();const hmacMd5 = CryptoJS.HmacMD5(text, key).toString();console.log("=== HMAC 哈希 ===");console.log("原始文本:", text);console.log("HMAC-SHA256:", hmacSha256);console.log("HMAC-MD5:", hmacMd5);console.log("-------------------");
}/*** 5. DES 加密解密 (较旧的对称加密算法)*/
function desExample() {const plaintext = "这是一个DES加密测试";const key = "12345678"; // DES密钥必须是8位// 加密const encrypted = CryptoJS.DES.encrypt(plaintext, CryptoJS.enc.Utf8.parse(key), {mode: CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});const encryptedStr = encrypted.toString();// 解密const decrypted = CryptoJS.DES.decrypt(encryptedStr, CryptoJS.enc.Utf8.parse(key), {mode: CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});const decryptedStr = decrypted.toString(CryptoJS.enc.Utf8);console.log("=== DES 加密解密 ===");console.log("原始文本:", plaintext);console.log("加密后:", encryptedStr);console.log("解密后:", decryptedStr);console.log("-------------------");
}/*** 6. RC4 加密解密 (流加密算法)*/
function rc4Example() {const plaintext = "这是一个RC4加密测试";const key = "my-rc4-key";// 加密const encrypted = CryptoJS.RC4.encrypt(plaintext, key);const encryptedStr = encrypted.toString();// 解密const decrypted = CryptoJS.RC4.decrypt(encryptedStr, key);const decryptedStr = decrypted.toString(CryptoJS.enc.Utf8);console.log("=== RC4 加密解密 ===");console.log("原始文本:", plaintext);console.log("加密后:", encryptedStr);console.log("解密后:", decryptedStr);
}// 执行所有示例
aesExample();
md5Example();
shaExample();
hmacExample();
desExample();
rc4Example();
如需测试,可在Apipost的脚本中直接粘贴上述代码,然后在控制台看结果。如下图所示:
以上是关于Apipost对API响应体进行加密编码处理的调试实践,会对开发和测试阶段的调试带来极大便利,大家可以试试。