核心用法
api-tester 是一款轻量级 HTTP 请求工具,专为 OpenClaw 环境设计,无需额外依赖即可执行结构化网络请求。通过 require('skills/api-tester') 调用,使用 api.request(method, url, headers?, body?) 发起请求,支持 GET、POST、PUT、DELETE 四种标准 HTTP 方法。
请求返回统一格式的 Promise 对象,包含 status(状态码)、headers(响应头)、data(自动解析的 JSON 或原始字符串)、raw(原始响应体)及 error(网络错误信息)。开发者可快速进行 API 健康检查、端点调试或与 REST 服务交互,无需手写 URL 编码或手动处理响应解析。
显著优点
- 零依赖架构:完全基于 Node.js 原生
http/https模块,避免 npm 依赖链风险,部署轻量化 - 智能 JSON 处理:自动识别
Content-Type完成请求体序列化与响应体反序列化,减少样板代码 - 安全容错设计:网络错误以结构化对象返回而非抛出异常,保障调用链稳定性
- 配置友好:默认 10 秒超时保护,防止请求挂死;自定义 headers 支持 Bearer Token 等鉴权场景
潜在局限
- 功能精简:不支持请求重试、并发控制、流式传输或 WebSocket,复杂场景需配合其他工具
- 调试信息有限:不内置请求日志或详细耗时追踪,问题排查依赖外部监控
- 无代理支持:文档未提及 HTTP/HTTPS 代理配置,企业内网环境可能受限
- 证书验证:未说明 SSL/TLS 证书校验策略,自签名证书场景行为待验证
适合人群
- 需要快速验证 API 端点的后端开发者
- 构建健康检查脚本的 DevOps 工程师
- 编写轻量级数据同步任务的自动化场景用户
- 追求最小依赖的嵌入式/边缘计算环境开发者
常规风险
- 敏感信息泄露:Token、密钥等鉴权信息需硬编码或经环境变量注入,避免提交至版本控制
- 目标地址风险:请求恶意或未经验证的第三方 API 可能导致数据外泄或 SSRF 攻击
- 超时配置不当:默认 10 秒超时在慢网络或大响应体场景下可能触发误判,需按需调整
- 响应体处理:自动 JSON 解析失败时回落为原始字符串,业务逻辑需做好类型校验