接口自动化测试——接口鉴权的多种情况与解决方案

最新推荐文章于 2025-03-16 18:24:07 发布
最新推荐文章于 2025-03-16 18:24:07 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: # 接口自动化测试 文章标签: python json javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YZL40514131/article/details/129343804
版权
文章介绍了接口鉴权的几种常见方法,包括使用cookie进行会话管理,通过token获取认证信息并在后续请求中携带,以及运用HTTPBasicAuth的auth鉴权。示例代码展示了如何在Python的requests库中实现这些鉴权机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、接口鉴权通用的解决方案:

认证信息的获取
认证信息的携带

1、流程图

在这里插入图片描述

二、接口鉴权的常用方法

在这里插入图片描述

三、cookie鉴权

req=requests.session()
获取session的实例,需要通过session()保持会话
即为认证之后,之后所有的实例都会携带cookie
可以模仿用户在浏览器的操作

import requests

class TestCookieVerify:

    def test_cookies_session(self):
        """
        cookie鉴权:
        获取session的实例,需要通过session()保持会话
        即为认证之后,之后所有的实例都会携带cookie
        可以模仿用户在浏览器的操作
        :return:
        """
        req=requests.session()
        #第一次登录,植入cookie
        r2 = req.get(url='https://httpbin.xxx.com/cookies/set/kobe/111111',
                          headers={'count':'1'})
        print(f"第一次的响应值为{r2.json()}")
        #第二次请求的时候即可携带cookie信息
        r3 = req.get(url='https://httpbin.xxx.com/cookies',
                          headers={'count': '2'})
        print(f"第一次的响应值为{r3.json()}")
        r4 = req.get(url='https://httpbin.xxx.com/cookies',
                          headers={'count': '3'})
        print(f"第一次的响应值为{r4.json()}")

在这里插入图片描述

四、token鉴权

import requests

class TestTokenVerify:

    def test_litemall_token(self):
        #获取token
        r=requests.post(url="http://xxx.com/admin/auth/login",
                      json={"username":"admin123","mm":"admin123"})
        print(r.json())
        token=r.json()['data']['token']
        print(token)
        #之后的请求都携带token
        r1=requests.get("http://xxx.com/admin/profile/nnotice",
                         headers={"X-Litemall-Admin-Token":token})
        print(r1.json())

五、auth鉴权

在基本HTTP身份验证中,请求包含格式为的标头字段Authorization: Basic
其中credentials是ID和密码的Base64编码,由单个冒号连接:。
在这里插入图片描述

import requests
from requests.auth import HTTPBasicAuth

class TestTokenVerify:

    def test_auth_verify(self):
        r=requests.get(url='https://xxx.com/basic-auth/kobe/111111',
                       auth=HTTPBasicAuth('kobe','111111'))
        print(r.text)

在这里插入图片描述

【部署优化篇二】《DeepSeek服务化部署:RESTful/gRPC接口设计》
商务合作|问题讨论|交流学习 请联系作者微信,加微信请务必注明来意,博客主页有联系方式
02-19 139
proto文件版本:v1和v2字段不兼容会引发灾难解决妙招:用git子模块管理.proto文件通过RESTful+gRPC的组合拳,DeepSeek让大模型服务化变得像搭积木一样简单。对外RESTful:简单易用降门槛对内gRPC:性能压榨到极致混合架构:鱼熊掌我全要某大型集团采用这套方案后,AI服务调用量半年增长20倍,真正让AI成为企业的基础设施。现在轮到你了——是时候让你训练的模型走出实验室,去改变世界了!
接口功能的实现
热门推荐
noaman_wgs的博客
12-10 1万+
一、背景 随着系统的发展,单体应用主键演化成微服务架构。系统微服务化之后,若干个微服务之间会有调用。同个部门内实现的服务会被内部调用,一般风险是可控的。但是如果服务提供给别的部门使用之后,在不了解对方的使用场景,接口调用QPS等,如果对方接口调用量过大,会影响整个使用该服务的调用方,且对接口的安全性也会有风险。在这种情况下,每个微服务都需要对调用者进行。 基本的维度有: 应用:对方在...
接口自动化测试基础之路 03】接口
alyone的博客
05-23 1159
简单的接口方面的概念
手把手带你学扣子Coze之Chat SDK部署指南
最新发布
落笔画忧愁
03-16 3011
快速将智能体部署到自己的网页上,实现免登录访问介绍部分建议查看官方文档:https://www.coze.cn/open/docs/developer_guides/install_web_sdk看完后直接跳到最后,查看示例代码扣子Chat SDK 是一个 JavaScript 库,集成了扣子 OpenAPI 的对话、文件上传等能力,便于开发者高效、便捷、快速地搭建一个聊天应用。集成扣子 Chat SDK 之后,用户可通过网页悬浮窗方式 AI 应用对话。比如我们的知识库AI助手。
接口实践
hxj413977035的博客
12-03 7187
我们知道,做为一个web系统,少不了要调用别的系统的接口或者是提供接口供别的系统调用。从接口的使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做的操作就直接发布到互联网无疑是 而这不仅有暴露数据的风险,同时还有数据被篡改的分享,严重的甚至是影响到系统的正常运转! 接下来,我将结合实际代码,分享一套接口实践方法。 方案一 appId和secret 接口?那还
爆炸性!接口方式及实战案例,这篇文章让你的接口安全像坦克防护!
测试逍遥子的博客
04-02 2469
本文从API Key、Basic Authentication、OAuth和Token四个方面详解了接口的概念和实现方式,并通过Python代码进行了演示。接口是保障API安全的重要手段,在API接口的设计中应当充分考虑其安全性,以确保数据的保密性、完整性和可靠性。 OAuth 不同的是,Token 是由服务端来生成和验证的。通过headers设置X-API-KEY字段即可验证API Key的有效性,如果API Key无效,API会返回 401 Unauthorized 状态码。
接口方案 jwt
qq_36428598的博客
06-24 801
setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRE_MILLIS)) // 设置过期时间。.setIssuedAt(new Date(currentTimeMillis)) // 设置签发时间。.setSigningKey(generateKey()) // 设置签名密钥。@return 0 验证成功,1、2、3、4、5 验证失败。key(按照签名算法的字节长度设置key)5.使用注解在接口上。
【笔记】软件测试09——接口测试
PD137的博客
10-26 1197
常用正则表达式符号的使用获取指定内容最常用的一个正则表达式.*?的使用对于有换行符的字符串的处理Apifox。
Python接口自动化测试之Requests库&Pytest框架
qishuzdh的博客
09-02 662
前言: 感谢各位读者阅读七叔的文章,感谢每一位读者,如果方便的话麻烦动一下发财的小手点个关注,七叔写的文章可能不是那么生动有趣但是还是希望能给各位带来提升,,文章最后有叔的一些干货也是七叔十三年测试所保留下来的资源,各位如果感兴趣的话可以来看看 发送get请求 #导包 importrequests #定义一个url url="http://xxxxxxx" #传递参数 payload="{\"head\":{\"accessToken\":\"\",\"lastnotice\":...
jmeter接口测试全流程!csv参数化|断言|接口依赖|多接口批量执行|报告生成|jdbc数据库操作|文件操作
weixin_40772077的博客
01-11 3271
jmeter基本的接口测试 数据驱动ddt-CSV文件数据配置应用详解 测试结果校验-自动化断言机制详解 如何处理接口依赖问题 对于公共数据如何管理 多接口多组数据自动化测试实现 如何快速生成测试报告 jdbc数据库操作 文件上传操作
NGN全网智能化安全运维解决方案——华为
本文主要探讨了华为的NGN(Next Generation Network)全网智能化原理和运维解决方案,旨在提升系统安全性并优化网络运营。NGN技术旨在解决传统PSTN(Public Switched Telephone Network)网络面临的问题,如业务扩展性...
接口
follow your heart
09-09 4915
积分加分API使用签名方法(Signature)对接口进行。每一次调用积分加分接口的请求都需要在请求中包含签名信息,以验证用户身份。 在第一次使用积分系统加分API之前,需要向积分系统申请安全凭证,安全凭证包括SecretId和SecretKey,SecretId是用来标识API调用者的身份,SecretKey是用于加密签名字符串和服务器验证签名字符串的密钥。SecretKey必须严格保管,避...
API接口
qq_40660283的博客
08-17 1150
由于api接口直接暴露在服务器上容易被恶意攻击,所有使用接口来拦截恶意请求,使用时间戳+appId+secret+参数排序生成MD5加密传输.被调用api接口使用AOP切面添加注解使用注解
【有料】一口气说出前后端 10 种方案~
daobuxinzi的博客
09-25 1108
最经典的莫过于 APP 内嵌 H5 的使用场景,当用户从 APP 进入内嵌的 H5 时,我们希望 APP 内已登录的用户能够访问到 H5 内受限的资源,而未登录的用户则需要登录后访问。短信验证码的作用就是证明当前操作页面的用户输入手机号的用户为相同的人,那么实际上只要我们能够获取到当前手机使用的手机卡号,直接使用这个号码进行登录,不需要额外的操作,这就是。对于两个网站 A 和 B,在登录 A 网站的时候用 B 网站的帐号密码,就是联合登录,或者登录 B 网站的时候使用 A 网站的帐号密码,也是联合登录。
接口方式
qq_41373328的博客
08-10 1万+
当第三方访问我们的接口的时候,我们需要对传参进行参数校验,思路就是 1、给第三方一个appid和app_secret。第三方首先根据app_id和时间戳timestamp和secret(secret = MD5(app_id+app_secret+timestamp)),去掉我们接口获取accessToken。 注:accessToken有效性为2小时。 2、第三方每次请求我们的接口的时候,都必须带上accessToken 3、第三方需要对每次请求的参数,sign签名生成。 sign签名生成规则: MD5(
api 请求 fail_基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
weixin_39664560的博客
01-31 339
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。Api接口签名验证主要防御措施为以下几个:请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改实现思路:我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:// 供应商的id,验证用户的真实性 String appid = request.getHeader("a...
接口API
weixin_37083399的博客
08-20 380
登录后复制 一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就要跟支付宝和微信打通内部系统支付宝微信系统之间的网络,提供相关api接口。 直接把API暴露到互联网上给外部系统是存在安全风险的,因此我们要先对接口调用方做一个用户...
接口 - 学习/实践
"代码"的日常搬运
12-09 9050
1.应用场景 “为了保证接口调用的安全性,设计实现一个接口调用功能,只有经过认证之后的系统才能调用我们的接口,没有认证过的系统调用我们的接口会被拒绝. 如:你正在参开发一个微服务。微服务通过 HTTP 协议暴露接口给其他系统调用,说直白点就是,其他系统通过 URL 来调用微服务接口. 2.学习/操作 2.1 介绍 见应用场景 ...
服务 API接口设计
zhaoyang10的专栏
10-23 2533
开放 API 接口签名验证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

敲代码敲到头发茂密

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值