登录
首页 >  Golang >  Go教程

Golang单元测试API接口签名验证示例

时间:2025-10-17 14:57:11 467浏览 收藏

亲爱的编程学习爱好者,如果你点开了这篇文章,说明你对《Golang单元测试API接口签名验证示例》很感兴趣。本篇文章就来给大家详细解析一下,主要介绍一下,希望所有认真读完的童鞋们,都有实质性的提高。

首先实现HMAC-SHA256签名生成与验证逻辑,然后编写单元测试验证相同参数签名一致性、正确性及防篡改能力,最后在HTTP接口中集成签名验证确保API安全。

Golang单元测试API接口签名验证示例

在使用 Golang 开发后端服务时,API 接口的安全性非常重要。签名验证是一种常见的安全机制,用于防止请求被篡改或重放攻击。为了保证签名逻辑的正确性,编写单元测试非常关键。下面是一个简单的 API 接口签名验证示例,包含实现和对应的单元测试。

1. 签名验证逻辑实现

假设我们使用 HMAC-SHA256 算法对请求参数进行签名验证。客户端将参数按字典序排序后拼接,并用密钥生成签名,服务端做相同处理并比对。

sign.go 
package main

import (
	"crypto/hmac"
	"crypto/sha256"
	"encoding/hex"
	"net/url"
	"sort"
)

// GenerateSignature 生成签名
func GenerateSignature(params url.Values, secret string) string {
	// 参数按 key 字典序排序
	keys := make([]string, 0, len(params))
	for k := range params {
		keys = append(keys, k)
	}
	sort.Strings(keys)

	// 拼接 key=value 形式(不包含 sign)
	var str string
	for _, k := range keys {
		if k == "sign" {
			continue
		}
		str += k + "=" + params.Get(k) + "&"
	}
	if len(str) > 0 {
		str = str[:len(str)-1] // 去掉最后一个 &
	}

	// 使用 HMAC-SHA256 签名
	h := hmac.New(sha256.New, []byte(secret))
	h.Write([]byte(str))
	return hex.EncodeToString(h.Sum(nil))
}

// ValidateSignature 验证签名是否正确
func ValidateSignature(params url.Values, secret, expectedSign string) bool {
	actualSign := GenerateSignature(params, secret)
	return hmac.Equal([]byte(actualSign), []byte(expectedSign))
}

2. 单元测试验证签名逻辑

接下来为上述签名逻辑编写单元测试,确保各种场景下签名生成和验证的正确性。

sign_test.go 
package main

import (
	"net/url"
	"testing"
)

func TestGenerateSignature(t *testing.T) {
	params := url.Values{}
	params.Set("timestamp", "1717723456")
	params.Set("nonce", "abc123")
	params.Set("user_id", "1001")
	params.Set("sign", "ignored") // 应被排除

	secret := "my_secret_key"

	signature := GenerateSignature(params, secret)

	expected := "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855" // 实际运行值会不同
	t.Logf("Generated signature: %s", signature)

	// 这里不能硬编码 expected,应该测试一致性
	// 我们可以测试相同输入是否总是生成相同输出
	sign2 := GenerateSignature(params, secret)
	if signature != sign2 {
		t.Error("签名不一致")
	}
}

func TestValidateSignature(t *testing.T) {
	secret := "my_secret_key"
	params := url.Values{}
	params.Set("timestamp", "1717723456")
	params.Set("nonce", "abc123")
	params.Set("user_id", "1001")

	// 正确签名
	correctSign := GenerateSignature(params, secret)
	params.Set("sign", correctSign)

	if !ValidateSignature(params, secret, correctSign) {
		t.Error("预期签名验证通过,但失败了")
	}

	// 错误签名
	wrongSign := "invalid_signature"
	if ValidateSignature(params, secret, wrongSign) {
		t.Error("预期签名验证失败,但通过了")
	}

	// 修改参数后验证应失败
	params.Set("user_id", "1002")
	if ValidateSignature(params, secret, correctSign) {
		t.Error("修改参数后签名仍通过,存在安全风险")
	}
}

func TestEmptyParamsSignature(t *testing.T) {
	params := url.Values{}
	secret := "my_secret_key"
	sign := GenerateSignature(params, secret)
	expected := "b613679a0814d9ec772f95d778c35fc5ff1697c493715653c6c712144292c5ad" // HMAC of empty string
	if sign != expected {
		t.Errorf("空参数签名错误,期望 %s,实际 %s", expected, sign)
	}
}

3. 如何在 HTTP 接口中集成

在实际 API 路由中,你可以从 query 或 body 中提取参数进行验证。

func apiHandler(w http.ResponseWriter, r *http.Request) {
	if r.Method != "GET" {
		http.Error(w, "method not allowed", http.StatusMethodNotAllowed)
		return
	}

	params := r.URL.Query()
	secret := "my_secret_key"
	clientSign := params.Get("sign")

	if clientSign == "" {
		http.Error(w, "missing sign", http.StatusBadRequest)
		return
	}

	if !ValidateSignature(params, secret, clientSign) {
		http.Error(w, "invalid signature", http.StatusForbidden)
		return
	}

	w.Write([]byte(`{"status": "success"}`))
}

4. 运行测试

在项目目录下执行:

go test -v

你应该看到所有测试通过,确保你的签名逻辑是可靠的。

基本上就这些。通过这样的结构,你可以确保 API 签名机制在各种边界条件下都正确工作,提升接口安全性。

理论要掌握,实操不能落!以上关于《Golang单元测试API接口签名验证示例》的详细介绍,大家都掌握了吧!如果想要继续提升自己的能力,那么就来关注golang学习网公众号吧!

相关阅读
更多>
最新阅读
更多>
课程推荐
更多>