【接口自动化测试基础之路 03】接口鉴权

原创 已于 2023-05-29 11:46:52 修改 · 1.2k 阅读 · 17
标签
#自动化
于 2023-05-23 16:07:53 首次发布
本文介绍了自动化测试中涉及的接口鉴权方法,包括Cookie、Session和Token鉴权,并讨论了MockServer在前后端分离和对接第三方接口中的应用。同时,文章讲解了接口加解密的常用算法以及接口签名的概念、作用和实现步骤,强调了这些安全措施在确保接口安全方面的重要性。

本文记录关于自动化测试的基础学习内容

使用的语言:python

python基础这里不做复习

一、接口鉴权

1、 cookie鉴权
第一次访问时,服务器产生,保存在客户端
cookie信息一般包括:name、value、domain、path、expires/max age、size
分为:会话级cookie和持久型cookie

2、session鉴权
第一次登录时,服务器产生,保存在服务器内存中
一般通过cookie传参sessionID,原理和cookie类似,用于判断是否为同一个客户端
(一般sessionID为一个会话级cookie)
一般失效时间为30分钟(可以修改配置)
sessionID也可以通过隐藏域、URL传递

3、token鉴权
服务器产生,保存在服务器的文件或数据库(硬盘)中
一般接口测试用专门的接口获取token(例如登录),后续请求其他接口都必须带上token

相同点:都是服务器产生,都用于鉴权
不同点:
cookie保存在客户端,不安全,一般用于存放不太重要的数据;
session一般用于存放重要的数据;
token是独立的鉴权,与cookie和session无关

二、接口mock sever(概念)

mock一般是为了解决单元之间的耦合依赖关系(桩服务)
应用场景比如:
1、前后端分离的架构,项目中,前端开发完成,后端接口未实现
2、项目对接第三方接口

具体的mock sever使用方法可以搜一下网上的 postman mock sever使用方法(比较简单,不做描述)

三、接口加解密(概念)

常见加密方式:
1、对称式加密(私钥加密):DE

最低0.47元/天 解锁文章
接口自动化测试——接口的多种情况与解决方案
python全栈
03-28 2029
在基本HTTP身份验证中,请求包含格式为的标头字段Authorization: Basic。其中credentials是ID和密码的Base64编码,由单个冒号连接:。获取session的实例,需要通过session()保持会话。即为认证之后,之后所有的实例都会携带cookie。可以模仿用户在浏览器的操作。
接口测试中的与加密:实战指南
KakaCeshi的博客
09-20 2336
接口测试中, 和 数据加密 是确保系统安全的重要措施。通过 OAuth、JWT 和 Cookies 进行,可以有效防止未经授的访问。同时,使用 HTTPS 加密或自定义加密算法保证数据在传输过程中的安全性。
API接口
qq_40660283的博客
08-17 1758
由于api接口直接暴露在服务器上容易被恶意攻击,所有使用接口来拦截恶意请求,使用时间戳+appId+secret+参数排序生成MD5加密传输.被调用api接口使用AOP切面添加注解使用注解
软件测试 接口测试 接口 token Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 3566
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
http通信(一)自定义加密
w_t_y_y的博客
05-26 8423
防止数据泄露和网络攻击,接口一般是需要控制访问的。如前后端分离项目中,前端带入token等方式。如果接口提供给第三方调用且无需登陆,则需要给该接口加白名单,但是这样会造成安全问题,我们可以约定参数进行采用固定参数同样存在安全问题,容易被抓包获取到。可以带入动态的时间戳来
接口自动化测试必知必会!】接口、加密和session实战
软件测试阿沐博客
07-25 1372
本节大纲 ØHTTP请求方法 Øauth Ø加密接口 Øsession会话管理 Ø接口的封装 01.HTTP请求方法-delete 接口关联 请求的方法:http协议里定义了一些请求的方法或者叫动词,这些方法和动词可以进一步 定义请求的 目的,比如是获取资源还是创建资源等;常用的是GET,POST。 在接口测试中,一般来说,post创建数据,get获取创建成功后的所有数据和指定的数据,put 可以对创建成功后的数据进行修改,delete.
Apifox:API 接口自动化测试完全指南!
xiaojieceo的博客
12-05 1518
​这是一篇关于 Apifox 的接口自动化测试教程。相信你已经对 Apifox 有所了解:“集API 文档、API 调试、API Mock、API 自动化测试,更先进的 API 设计/开发/测试工具”。 ​
Apifox:API 接口自动化测试完全指南
m0_70669463的博客
04-22 3436
这是一篇关于Apifox的接口自动化测试教程。相信你已经对 Apifox 有所了解:“集 API 文档、API 调试、API Mock、API 自动化测试,更先进的 API 设计/开发/测试工具”。
Web API接口方式
人间世
02-28 7937
介绍web API接口方式
postman 之接口
zhangleibin的博客
01-04 7669
首先先明确一下接口的含义:简单来说就是要确定用户是否有访问系统(这里可以理解成接口)的限 一般情况下如果发送接口请求的时候返回了 401 错误, 那么一般是接口需要 的方式有多种,下面一一列举 1、Inherit auth from parent 从父级继承身份验证 使用方法 点击下图 Collections 右侧的...,然后选择 edit,在 EDIT COLLECTION 中选择 Authorization type 中可以根据实际需要选择下方方法,比如选
聊一聊接口测试如何处理
最新发布
奇峰卧虎
05-01 2056
接口测试中,(Authorization)是验证请求方是否有限访问特定资源的关键步骤。主要是验证用户是否有限访问某个接口,确保安全性,因为很多接口都需要验证用户的身份和限,否则会有安全风险。常见的方式有哪些,可能包括Basic Auth、Token、OAuth、JWT、API Key、HMAC,还有签名验证这些,方法时需要注意哪些点,比如参数的位置是否正确,Token是否过期,还有限控制是否严格,这些都是测试过程中容易出问题的地方。
限校验—接口检验
一起加油吧~
08-08 5158
获取传入用户的信息判断用户信息的限信息集合中是否含有定义的限/*** @Description: 自定义限实现*//** 所有限标识 *//*** 验证用户是否具备某限* @param permission 限字符串* @return 用户是否具备某限*///判断是否传入限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含限集合//将限设置到请求头中//判断是否包含限/*** 判断是否包含限。
接口测试】初了解
黑黑白白君的博客
06-05 5388
文章目录1.1 什么是?1.2 常见的方式1、HTTP Basic Authentication方式HTTP Basic Authentication方式的认证过程:HTTP Basic Authentication方式的注销HTTP Basic Authentication方式的适用范围2、token方式token方式流程:token方式适用场景*JWT(JSON WEB TOKEN)3、session + cookie方式session+cookie认证流程:*s
API 接口规范
XT4625的专栏
03-05 4076
设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等) Api 接口规范-1.0-md5签名 Api 登录,采用Auth方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数: 1.Epay-Auth-User-Id 用户Id 2.Epay-Auth-Timestamp 请求时客户端时间错...
接口API
weixin_37083399的博客
08-20 786
登录后复制 一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就要跟支付宝和微信打通内部系统与支付宝微信系统之间的网络,提供相关api接口。 直接把API暴露到互联网上给外部系统是存在安全风险的,因此我们要先对接口调用方做一个用户...
设计接口时,为其添加签名---详细教程
阿土不土的博客
01-23 2653
设计接口时,为其添加---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
爆炸性!接口方式及实战案例,这篇文章让你的接口安全像坦克防护!
测试逍遥子的博客
04-02 2695
本文从API Key、Basic Authentication、OAuth和Token四个方面详解了接口的概念和实现方式,并通过Python代码进行了演示。接口是保障API安全的重要手段,在API接口的设计中应当充分考虑其安全性,以确保数据的保密性、完整性和可靠性。与 OAuth 不同的是,Token 是由服务端来生成和验证的。通过headers设置X-API-KEY字段即可验证API Key的有效性,如果API Key无效,API会返回 401 Unauthorized 状态码。
接口方式
热门推荐
qq_41373328的博客
08-10 1万+
当第三方访问我们的接口的时候,我们需要对传参进行参数校验,思路就是 1、给第三方一个appid和app_secret。第三方首先根据app_id和时间戳timestamp和secret(secret = MD5(app_id+app_secret+timestamp)),去掉我们接口获取accessToken。 注:accessToken有效性为2小时。 2、第三方每次请求我们的接口的时候,都必须带上accessToken 3、第三方需要对每次请求的参数,sign签名生成。 sign签名生成规则: MD5(
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值