【Java后端】使用了Shiro、Spring Secutity安全框架之后如何使用PostMan、Apifox进行接口测试

已于 2024-03-20 09:47:33 修改
阅读量957 收藏 5
点赞数 1
分类专栏: 《软件开发》 文章标签: spring java 后端
于 2022-10-16 11:44:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccaoshangfei/article/details/127345337
版权

一、问题

在使用安全框架后我们在进行接口测试的时候发现出现请求失败类似下图中的返回值,如何解决这个问题等价于如何绕过安全框架进行接口测试

二、原理

要解决这个问题我们首先要知道安全框架的原理是什么?

  • 首先所有的数据都是通过HTTP请求完成的,但是HTTP本身是无状态协议,说白了就是服务器会接收到请求但是不知道是谁发,服务器与客户端不会建立永久性的连接。
  • 因此我们需要使用会话Session跟踪技术,常见的有Cookie、Session、Url重写、隐藏表单域。最常见的是使用Cookie,也就是说我们的登录信息都会保存在Cooki中
  • 安全框架直观的讲,就是判断一个HTTP请求是否是已登录用户传过来的
  • 因此我们只需要在HTTP请求的Header部分加上带有登录信息的Cookie即可

通过上述分析,原问题转化为如何获取Cookie信息

三、做法

开启项目后首先进行用户登录,随后按下F12查看网络信息

按下Ctrl+R查看网络具体信息。并随机点击一个模块,查看它请求标头中的Cookie

在接口测试工具中的Header部分输入Cookie信息,随后进行接口测试

北村南
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
postman的身份验证Authentication
loner_fang的博客
08-06 1万+
1、概述     Authorization是验证是否拥有从服务器访问所需数据的权限。当发送请求时,通常必须包含参数,以确保请求具有访问和返回所需数据的权限。Postman提供了授权类型,可以轻松地在Postman本地应用程序中处理身份验证协议。 应当注意:NTLM和BearerToken仅在Postman本地应用程序中可用。所有其他授权类型都可以在Postman本地应用程序和Chrome...
postman 联调 spring security
xxy41092的博客
12-19 618
spring secur 默认开启阻止csrf的攻击,如果我们用spring mvc架构的话,这点很好解决,但是如果我们不用spring mvc做前后端分离的话,问题就很多了 网上有很多教程,拼来拼去来回改都吐了 https://blog.csdn.net/u012702547/article/details/106206339/这篇还是挺有效的 但是看csdn不如跑去翻文档 我们来到spring security的文档 第14节Protection Against Exploits 给出了..
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了应用程序安全API来执行以下方面(我喜欢将它们称为应用程序安全性的4个基石): 身份验证-证明用户身份,通常称为用户“登录”。 授权-访问控制 密码术-保护或隐藏数据以防窥视 会话管理-每个用户的时间敏感状态 Shiro还支持一些辅助功能,例如Web应用程序安全性,单元测试和多线程支持,但它们的存在是为了加强上述四个主要方面。 Apache Shiro特点: 易于使用 易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和沮丧,并被视为“必要的邪恶”。如果您使它易于使用,以使新手程序员可以开始使用它,那么就不必再痛苦了。 全面 Apache Shiro声称没有其他具有范围广度的安全框架,因此它可能是满足安全需求的“一站式服务”。 灵活 Apache Shiro可以在任何应用程序环境中工作。虽然它可以在Web,EJB和IoC环境中运行,但不需要它们。Shiro也不要求任何规范,甚至没有很多依赖性。 具有Web功能 Apache Shiro具有出色的Web应用程序支持,允许您基于应用程序URL和Web协议(例如REST)创建灵活的安全策略,同时还提供一组JSP库来控制页面输出。 可插拔 Shiro干净的API和设计模式使它易于与许多其他框架和应用程序集成。您会看到ShiroSpring,Grails,Wicket,Tapestry,Mule,Apache Camel,Vaadin等框架无缝集成。 受支持 Apache Shiro是Apache Software Foundation(Apache软件基金会)的一部分,事实证明该组织的运作符合其社区的最大利益。项目开发和用户群体友好的公民随时可以提供帮助。如果需要,像Katasoft这样的商业公司也可以提供专业的支持和服务。
postman测试接口springboot+shiro)带token也不通的解决方案
最新发布
qq_30255033的博客
06-03 537
shiro,springboot,postman,token,subject
利用PostManshiro环境下测试
wangwe2000的博客
01-22 1228
利用PostManshiro环境下测试一、查看账号cookie二、设置POSTMAN Headers三、send返回 一、查看账号cookie 二、设置POSTMAN Headers 三、send返回
Spring SecurityPostman调用时无授权与CSRF验证
锥栗的博客
05-16 1717
Spring Security 是一个强大的、高度可定制的 Java 安全框架,它为基于 Spring 的应用程序提供了全面的安全服务和解决方案。
Postman 通过Shiro权限验证问题 Postman绕过Shiro Postman保持登录状态 Shiro 认证
HaHa_Sir的博客
04-01 2200
Postman 通过Shiro权限验证问题 Postman绕过Shiro Postman保持登录状态 Shiro 认证 一、问题描述 1、在使用Postman 测试接口时,遇到一个问题,比如某些接口需要登录才能测试,而使用Postman去登录,发现无法成功,导致了接口无法测试 ... 2、判断是否登录,使用的权限验证框架Shiro , 那么这个问题变成 --- Postman绕过Shiro 登录测试。 二、解决办法 1、了解Shiro验证是...
如何使用postman测试springsecurity的代码
Geek_Dream
05-24 4936
使用postman测试SpringSecurity的其它接口获取Cookie拿到我们的cookie之后如何在postman使用? 获取Cookie 我们需要首先启动我们的程序,然后我们使用浏览器[最好是google]打开我们的springsecurity输入账号密码进行登录,我们打开F12查看我们的cookie 这里选择我们的Network然后点击登录,之后我们需要选择前面一段,找到我们访问的地址 不用在乎我这个名字,我这里访问的就是退出链接,这里只是你的controller接口的路径而已,点击打开我
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括...
Java安全框架Shiro电子书
04-07
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以...
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务...用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:https://blog.csdn.net/weixin_42686388/article/details/103084289
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBoot与Shiro的结合为开发者提供了一个高效、便捷的实现前后端全分离接口安全框架。本文将深入探讨如何利用这两个强大的工具构建安全的Web服务。 首先,SpringBoot是Spring框架的一个轻量级版本,它简化了...
Apifox调用Security权限接口
Jack魏
01-07 1143
因为项目升级到SpringBoot3.0了,使用Shiro有很多问题目前好像不支持SpringBoot3.0,大部分问题都出在javax这个包改成了jakarta 这个包下面了,所以好多组件我们用不了,需要各大厂家去适配SpringBoot3.0。
Java Post测试代码(https)
卐兜兜飞卍的专栏
04-23 745
以下代码展示了如何以POST方式向服务器发送数据并获取返回值。
Postman测试 - SpringSecurity用户名和密码认证访问后台请求
你今天真好看呀
08-11 4454
Postman测试SpringSecurity用户名和密码认证访问后台请求。
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
emprere的博客
10-05 404
一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地...
Java的post(HTTPS)请求-----接口测试
weixin_30345055的博客
05-18 378
package com.ju.util; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.OutputStream; import java.io.OutputStreamWriter; import j...
SpringBoot 登录接口单元测试(Shiro方式)
jie873440996的专栏
04-23 1248
SpringBoot 登录接口单元测试 1.针对登录接口获取Token package com.demo.test.controller; import com.alibaba.fastjson.JSONObject; import com.demo.test.Application; import com.demo.test.req.auth.LoginReq; import com.demo.test.resp.auth.UserResp; import org.apache.shiro.Securi
shiro】@RequiresPermissions在postman调用
ooooooooooooooxiaosu的博客
06-14 1367
shiro
Java spring 使用shiro框架
08-20
Java Spring 框架可以使用 Apache Shiro 框架来实现身份验证、授权、加密和会话管理功能。 要在 Spring使用 Shiro,首先需要在项目中添加 Shiro 的依赖,然后配置 Shiro 的过滤器链。Spring 的 `WebApplicationInitializer` 类可以用来配置 Shiro 过滤器链,方法如下: ```java @Override protected Filter[] getServletFilters() { return new Filter[]{new DelegatingFilterProxy("shiroFilter")}; } ``` 然后,在 Spring 的配置文件中(如 applicationContext.xml)配置 Shiro 过滤器链: ```xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 设置安全管理器 --> <property name="securityManager" ref="securityManager"/> <!-- 设置登录页面 --> <property name="loginUrl" value="/login"/> <!-- 设置登录成功后的默认页面 --> <property name="successUrl" value="/index"/> <!-- 设置未授权页面 --> <property name="unauthorizedUrl" value="/unauthorized"/> <!-- 设置过滤规则 --> <property name="filterChainDefinitions"> <value> /login = anon /logout = logout /index = authc /admin/** = authc, roles[admin] /** = authc </value> </property> </bean> ``` 在上面的配置中,我们设置了登录页面、登录成功后的默认页面、未授权页面以及过滤规则。过滤规则中的 `anon` 表示不需要认证就可以访问,`authc` 表示需要认证才能访问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北村南

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值