关注 霍格沃兹软件测试开发 公众号,回复「资料」, 领取人工智能测试开发技术合集
你有没有遇到过这种情况:接手一个项目,接口文档第一页写着“所有请求必须携带签名”。然后你翻到最后一页,看到签名算法说明——参数排序、拼接、HMAC-SHA256、转Base64,中间还要加一个随机nonce和时间戳。
然后你开始写代码。每一个测试用例里,都要先算一遍签名。换一个接口,参数变了,签名逻辑要重新调。换一个环境,密钥不同了,所有脚本改一遍。
更烦的是AI。你想让AI帮你测这个接口,你跟它解释签名规则。它听懂了,算了一次,成功了。下一次对话,它又忘了nonce要每次不同,签名验证失败。你在提示词里写了一大段签名逻辑,token超长,模型开始丢信息。
很多人已经开始意识到:签名不是业务逻辑,它是基础设施。基础设施就应该被封装起来,而不是散落在每一个测试脚本和提示词里。
这篇文章不聊概念。直接动手,从0到1写一个“接口签名Skill”。写完之后,任何需要签名的接口,一行代码调用。AI也能听懂——它只需要知道“有个工具叫sign_request”,传参数,拿签名。
目录
一、现象:签名逻辑正在拖垮测试脚本的可维护性
二、本质变化:把“算法”封装成“能力”才是工程思维
三、核心机制拆解:一个签名Skill的三个核心模块
四、典型案例 / 对比:30行重复代码 vs 1次Skill调用
五、工程落地启示:Skill优先于函数,函数优先于复制粘贴
六、结尾:你数过自己写了多少遍签名代码吗
一、现象:签名逻辑正在拖垮测试脚本的可维护性
先看一个真实代码片段。这是一个典型的测试脚本里的签名计算:
def call_api(params):
timestamp = int(time.time())
nonce = random.randint(100000, 999999)
params['timestamp'] = timestamp
params['nonce'] = nonce
sorted_keys = sorted(params.keys())
sign_str = ''
for k in sorted_keys:
sign_str += f'{k}={params[k]}&'
sign_str = sign_str.rstrip('&')
sign_str += '&key=your_secret_key'
sign = hashlib.sha256(sign_str.encode()).hexdigest().upper()
params['sign'] = sign
return requests.post(url, json=params)
这段代码有什么问题?它出现在了每一个需要签名的测试用例里。有人复制粘贴,有人写了个公共函数,但每个项目签名规则不一样,公共函数慢慢变成了一堆if else。
更麻烦的是,签名规则会变。某天产品说要加一个字段“version”参与签名。你需要在几十个测试文件里找到所有签名代码,一个一个改。漏一个,那个用例就会一直签名校验失败。
AI遇到签名更是灾难。你让AI调用一个需要签名的接口,它大概率会直接忽略签名,发一个裸请求,然后被服务端拒绝。你教它怎么算签名,它在长上下文里开始混淆参数顺序。你写一个固定的签名脚本给它,它又不会根据不同的请求参数动态调整。
本质问题是:签名是一种“算法能力”,不是“业务数据”。提示词和普通脚本都很难把算法抽象出来复用。
二、本质变化:把“算法”封装成“能力”才是工程思维
Skill的核心理念很简单:把一段可复用的算法逻辑,封装成一个有明确输入输出的工具,给AI或者给其他代码调用。
对于接口签名来说,Skill应该做三件事:
接收原始请求参数和密钥配置。 按照约定的算法计算出签名。 返回带签名的完整请求体。
调用方不需要知道用了什么哈希算法,不需要知道参数怎么排序,不需要知道nonce怎么生成。调用方只做一件事:说“我要调用这个接口,参数是这些”,Skill把签名补上。
这样做带来的变化是:签名算法只需要维护一份代码。算法升级了,只改Skill。所有测试脚本和AI对话自动获得新行为。
Skill不是高级函数。函数封装的是代码逻辑,Skill封装的是“可发现、可组合、可热替换”的能力单元。 函数在代码里硬编码调用,Skill可以被AI通过名字动态发现。
三、核心机制拆解:一个签名Skill的三个核心模块
以最常见的HMAC-SHA256签名方案为例。大部分开放平台的签名规则都类似:参数排序、拼接、加密钥、哈希、转大写。
一个完整的签名Skill分成三个模块:
模块一:参数预处理。接收原始参数字典,剔除sign字段本身(避免自己签自己),按key的ASCII码升序排序。这一步保证服务端和客户端排序结果一致。
模块二:签名串构造。把排序后的参数拼接成 key1=value1&key2=value2 的格式,最后加上 &key=密钥。注意value需要做URL编码还是原值,取决于协议。大多数情况下用原值。
模块三:签名计算与回填。对签名串做HMAC-SHA256,输出十六进制字符串,转大写,然后把sign字段塞回参数里。
画一个流程图,看清楚输入到输出的全过程:
核心代码示例(Python版,结构清晰):
class HmacSha256SignSkill:
def init(self, secret_key):
self.secret_key = secret_key
def execute(self, params):
# 模块一:参数预处理
params_copy = {k: v for k, v in params.items() if k != 'sign'}
sorted_keys = sorted(params_copy.keys())
模块二:构造签名串
sign_str = '&'.join([f'{k}={params_copy[k]}'for k in sorted_keys])
sign_str += f'&key={self.secret_key}'
模块三:计算签名
signature = hmac.new(
self.secret_key.encode(),
sign_str.encode(),
hashlib.sha256
).hexdigest().upper()
回填
params_copy['sign'] = signature
return params_copy
这个Skill怎么被调用?简单到只有一行:
signed_params = sign_skill.execute({'name': 'test', 'id': 123})
requests.post(url, json=signed_params)
AI调用这个Skill的方式也不复杂:Skill注册到AI Agent的工具列表里,AI看到用户说“调用用户查询接口,参数name=张三”,就会自动匹配到签名Skill,执行后带着签名发请求。
为什么这么设计?因为签名算法的每一个变种(不同排序规则、不同哈希算法、不同编码方式)都应该是一个独立的Skill实例,而不是一个函数里的if分支。 这样AI才能准确选择。
四、典型案例 / 对比:30行重复代码 vs 1次Skill调用
对比一个真实工作流。
场景:测试一个电商系统的三个接口——获取商品、创建订单、查询订单。三个接口都需要签名,签名规则完全一致。
不用Skill的做法:
每个接口的测试用例里,都要写一遍前面那30行签名代码。三个接口就是90行重复代码。换一个环境(从测试环境切到预发布),密钥变了,你要去三个地方改。
维护成本随着接口数量线性增长。十个人同时开发不同接口的测试,每个人复制一份签名代码,改出一百种细微差异。有人忘了对value做URL编码,有人用了MD5而不是SHA256,有人把timestamp格式写成了毫秒。排查的时候,你根本不知道哪个版本的签名是对的。
用Skill的做法:
写一个签名Skill,注入当前环境的密钥。三个接口的测试代码统一变成:
signed_params = sign_skill.execute(original_params)
环境切换只需要改Skill初始化时的密钥。算法升级,只改Skill内部。新加入的同事不需要知道签名规则,直接调用Skill。
AI场景的对比更明显。没有Skill时,你让AI“帮我测一下创建订单接口,参数是商品ID=100,数量=2”。AI会发一个不带签名的请求,返回401。你解释一遍签名规则,它开始算。对话长了,它忘了nonce要每次刷新,签名校验又失败。
有Skill时,你告诉AI“你有签名工具,直接调用它就行”。AI做的事情就是:把你的参数交给Skill,拿到签名后的请求,发送。AI不需要理解签名算法,出错概率降为零。
这个对比说明:Skill让复杂逻辑对调用方完全透明。这是任何封装形式都做不到的,因为AI能够根据Skill描述自主决定何时使用它。
五、工程落地启示:Skill优先于函数,函数优先于复制粘贴
如果你现在还在每个测试脚本里手写签名,有几件事可以立刻做。
第一,识别你项目中重复出现的“算法类”逻辑。签名是典型,还有数据加解密、文件格式转换、数据库连接池管理。只要算法稳定、输入输出明确、需要复用,就应该封装成Skill。
第二,Skill的粒度要适中。太细了,比如“生成一个随机数”这种,没必要封装。太粗了,比如“完整的下单流程”,那是业务场景不是能力。判断标准:这个逻辑是否可能被多个不相关的场景用到。
第三,Skill要自包含,无副作用。签名Skill只做一件事:输入参数,输出签名后的参数。它不应该写日志到某个固定文件,不应该修改全局变量,不应该依赖外部配置(除了初始化时注入的密钥)。这样才能保证多个Skill并行调用不冲突。
对在校生来说,写一个签名Skill是最好的练手项目。它不复杂,但涉及参数处理、算法调用、异常处理。做完之后放到简历上,比写“熟悉接口测试”有说服力得多。
对初级工程师,这件事的启发是:不要满足于“能跑通”。你的代码里有多少段重复的逻辑,就有多少个抽成Skill的机会。
六、结尾:你数过自己写了多少遍签名代码吗
我算过自己的。过去五年,我至少在不同的项目里写了四十多次签名逻辑。有时是Python,有时是Java,有时是Shell。每次写的时候都觉得“这次应该是最后一次了”,但下次还是从头开始。
Skill不能消除所有重复,但它可以把“算法类”的重复降为零。因为Skill的封装粒度足够大,大到算法变化时你不用改调用方。
现在我想问一个更实际的问题:
你打开你最近写的三个测试脚本,数一数里面有多少行代码是在做“签名”“加密”“格式化”这种通用逻辑。如果把这些代码抽成Skill,你的脚本会减少多少行?
评论区留下你的数字。我猜很多人会发现自己比想象中更早需要Skill。
推荐学习
🔥软件测试智能体技能包公开课来了!
告别重复劳动,掌握自动化新解法。文档阅读理解、测试用例自动生成(RAG)、Web自动化(Playwright+Opencli)、App自动化(Midscene+Appium)、探索测试与爬虫、视觉驱动UI理解——霍格沃兹一站式集成智能体工具集。
技能在手,质量我有!
👇 扫码进群,报名学习,解锁AI时代测试工程师的核心竞争力!
关于我们
霍格沃兹测试开发学社,隶属于 测吧(北京)科技有限公司,是一个面向软件测试爱好者的技术交流社区。
学社围绕现代软件测试工程体系展开,内容涵盖软件测试入门、自动化测试、性能测试、接口测试、测试开发、全栈测试,以及人工智能测试与 AI 在测试工程中的应用实践。
我们关注测试工程能力的系统化建设,包括 Python 自动化测试、Java 自动化测试、Web 与 App 自动化、持续集成与质量体系建设,同时探索 AI 驱动的测试设计、用例生成、自动化执行与质量分析方法,沉淀可复用、可落地的测试开发工程经验。
在技术社区与工程实践之外,学社还参与测试工程人才培养体系建设,面向高校提供测试实训平台与实践支持,组织开展 “火焰杯” 软件测试相关技术赛事,并探索以能力为导向的人才培养模式,包括高校学员先学习、就业后付款的实践路径。
同时,学社结合真实行业需求,为在职测试工程师与高潜学员提供名企大厂 1v1 私教服务,用于个性化能力提升与工程实践指导。