centos里postman如何进行数据加密

在CentOS系统中使用Postman进行数据加密的核心方法
Postman作为API调试工具，可通过传输层加密（保障数据传输安全）和请求数据加密（保护请求内容的机密性）两类方式实现数据加密。以下是具体操作指南：

一、传输层加密：强制使用HTTPS

传输层加密是保障数据在客户端与服务器之间传输安全的基础，需确保所有API请求通过HTTPS协议发送，防止数据被窃听或篡改。
操作步骤：

1. 打开Postman，点击右上角齿轮图标进入Settings（设置）。
2. 选择General（通用） tab，找到SSL certificate verification（SSL证书验证）选项，确保其处于开启状态（默认开启）。
3. 勾选Always use HTTPS（始终使用HTTPS），强制所有请求自动转换为HTTPS协议。
4. 保存设置后，Postman会自动将HTTP请求重定向至HTTPS，确保传输通道加密。

二、敏感信息管理：避免硬编码

通过环境变量存储敏感信息（如API密钥、密码、Base URL），避免在请求中直接暴露明文，降低泄露风险。
操作步骤：

1. 点击Postman左侧边栏Environments（环境） tab，选择现有环境或创建新环境（如“Dev”）。
2. 点击**Add（添加）**按钮，输入变量名（如api_key、password）和对应的加密值（如123456的MD5加密值）。
3. 在请求的**Headers（头部）或Body（主体）**中，使用{{变量名}}引用环境变量（如"api_key": "{{api_key}}"）。
4. 保存请求后，敏感信息仅在环境中存储，不会直接出现在请求代码中。

三、请求数据加密：常用算法实现

针对请求中的敏感字段（如密码、身份证号），可使用加密算法（如MD5、Base64、AES、RSA）进行加密，确保数据内容的机密性。

1. MD5加密（单向哈希，适用于密码存储）

MD5可将明文密码转换为固定长度的哈希值，无法逆向解密，常用于用户登录密码加密。
操作步骤：

• 在请求的Pre-request Script（前置脚本） tab中添加以下脚本（以密码字段为例）：

  const CryptoJS = require('crypto-js');
  let plainPassword = "123456"; // 明文密码（可从环境变量获取）
  let encryptedPassword = CryptoJS.MD5(plainPassword).toString(); // MD5加密
  pm.environment.set("password", encryptedPassword); // 存储到环境变量
  

• 在请求Body中引用环境变量："password": "{{password}}"。

2. Base64加密（可逆，适用于简单数据编码）

Base64可将字符串转换为可打印字符，常用于编码二进制数据或简单敏感信息（如API密钥），但需注意：Base64并非加密算法，可被轻易解码，敏感数据需配合其他加密方式使用。
操作步骤：

• 在Pre-request Script中添加以下脚本：

  const CryptoJS = require('crypto-js');
  let apiKey = "your_api_key";
  let encodedApiKey = CryptoJS.enc.Base64.stringify(CryptoJS.enc.Utf8.parse(apiKey)); // Base64编码
  pm.environment.set("encoded_apiKey", encodedApiKey); // 存储到环境变量
  

• 在请求Headers中引用环境变量："Authorization": "Basic {{encoded_apiKey}}"。

3. AES加密（对称加密，适用于复杂数据）

AES是一种对称加密算法，加密和解密使用相同密钥，适用于加密大量敏感数据（如用户信息）。
操作步骤：

• 在Pre-request Script中添加以下脚本（需提前生成AES密钥，如aXGr7jvD+yq87v9eTIAm0o5LFqAWsPgVmC37fewH）：

  const CryptoJS = require('crypto-js');
  let data = {"name": "张三", "id_card": "123456789012345678"}; // 待加密数据
  let secretKey = "aXGr7jvD+yq87v9eTIAm0o5LFqAWsPgVmC37fewH"; // AES密钥
  let encryptedData = CryptoJS.AES.encrypt(JSON.stringify(data), CryptoJS.MD5(secretKey), {
      iv: [], // ECB模式无需IV
      mode: CryptoJS.mode.ECB,
      padding: CryptoJS.pad.Pkcs7
  }).toString(); // AES加密
  pm.environment.set("encrypted_data", encryptedData); // 存储到环境变量
  

• 在请求Body中引用环境变量："data": "{{encrypted_data}}"。

4. RSA加密（非对称加密，适用于敏感数据签名）

RSA是一种非对称加密算法，使用公钥加密、私钥解密，适用于数据签名（如验证请求合法性）。
操作步骤：

• 在Pre-request Script中添加以下脚本（需提前获取RSA公钥，如从服务器获取或Postman全局变量中读取）：

  const CryptoJS = require('crypto-js');
  const forge = require('node-forge'); // 需安装forge模块（通过npm install forge）
  let data = {"token": "abc123", "timestamp": Date.now()}; // 待加密数据
  let publicKeyPem = pm.globals.get("RSA_Public_Key"); // 从全局变量获取公钥
  let publicKey = forge.pki.publicKeyFromPem(publicKeyPem); // 解析公钥
  let encryptedData = forge.util.encode64(publicKey.encrypt(JSON.stringify(data), 'RSAES-PKCS1-V1_5')); // RSA加密
  pm.environment.set("encrypted_token", encryptedData); // 存储到环境变量
  

• 在请求Headers中引用环境变量："X-Auth-Token": "{{encrypted_token}}"。

注意事项

• 密钥安全管理：AES密钥、RSA私钥等敏感信息需妥善保管，避免泄露（可通过环境变量或密钥管理服务存储）。
• 算法选择：根据数据敏感程度选择合适的加密算法（如密码用MD5，敏感数据用AES，签名用RSA）。
• 传输层加密优先：即使请求数据加密，仍需强制使用HTTPS，确保传输通道安全。
• 定期更新密钥：定期更换AES密钥、RSA密钥对，降低密钥泄露风险。