接口测试鉴权测试

最新推荐文章于 2024-06-01 21:03:44 发布
最新推荐文章于 2024-06-01 21:03:44 发布
阅读量4.3k 收藏 5
点赞数
分类专栏: 软件测试 接口测试 性能测试 文章标签: 前端 服务器 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58079308/article/details/125606028
版权

首先我们得理解下接口测试的一些流程,我们经常在测试接口的过程中常规的流程是,我们调用网站的login接口,查看login接口中返回的数据一般会登录成功之后生成一串序列码放在responseheader中的set-cookie字段

当然也有些网站在处理的过程中也会直接返回在response中。

当然无论哪一种,取决于开发实现的方式。而且,每个公司都有自己的实现模式。

那么,为什么接口必须要有鉴权呢?

我们做个假设,加入没有这样的鉴权机制,那么我如果知道了你的ip,以及请求URL,那么我就可以随意的访问你的资源

所以才必须有了鉴权。

这就好比显示中,我们如果想要进入房子之前必须有钥匙,钥匙匹配了我们才能进入这个房间。

没有鉴权,就好比,这房子只要有人知道在哪里,就可以随意的访问和进入,你愿意这么做吗?

所以,鉴权测试其实更多的是测试登录之后生成的用户的唯一性标识,使用这样的标识去请求其他业务接口能否成功和不带这标识,包括伪造标识,能否绕过鉴权机制等测试

一般浏览器的项目(PC使用浏览器打开,手机端H5打开)因为都有cookie容器,所以鉴权一般基于cookie (cookie base

手机APP(比如很多Native开发)都是token base,会将服务器返回的校验信息缓存到设备本地存储(类cookie)

软件测试老乔
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3.接口测试用例书写
cuiting_1020的博客
02-14 1164
一.测试用例模板        二.测试报告     01 系统接口概况 简要描述与测试项目相关的一些背景资料,如被测系统简介,项目上线计划等。 对于系统接口的定义和设计做出介绍。 比如系统一共有多少个接口?采用哪种协议?都涉及到哪些发送方法?采用怎样的请求格式?使用怎样的返回标准?可用表格说明。           02 测试目的与范围 描述本次接口测试的目的、范围与目标,内容应与本次...
接口测试】做了接口/业务关联的接口怎么测试
weixin_40772077的博客
04-22 522
如果是通过会话id(JSESSIONID)来实现的,那么先调用完登录接口——》拿到它返回的这个数据——》存储起来——》后面再调用其他接口的时候直接带上这个数据过去就可以了。如果是通过token来实现的,那么同样只需要在调用完登录接口——》拿到它返回的这个数据——》存储起来,后面操作同上。a接口调用完——》从响应中取出b依赖的这个参数——》保存起来——》b调用的时候,取出这个信息——》当做参数传过去即可。先找开发人员确认,再调用需要的这些接口怎么携带这个的信息。
软件测试 接口测试 接口 token Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2524
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
接口测试框架中的处理
测试官
06-01 770
接口自动化测试中通常都有机制,就是判断是否在登录状态下,已登录方可调用接口,未登录则不可调用。本文将带领大家学习使用rest-assured框架实现基于cookies和token的关联,实现接口自动化测试
接口自动化测试——接口的多种情况与解决方案
python全栈
03-28 1197
在基本HTTP身份验证中,请求包含格式为的标头字段Authorization: Basic。其中credentials是ID和密码的Base64编码,由单个冒号连接:。获取session的实例,需要通过session()保持会话。即为认证之后,之后所有的实例都会携带cookie。可以模仿用户在浏览器的操作。
最强-接口自动化测试总结,接口+加密与解密+数据库操作/断言...
分享测试知识
12-04 370
1、接口的多种方式1)后端接口常用方法cookie:携带身份信息请求认证之后的每次请求都携带cookie信息,cookie记录在请求头中token:携带身份信息请求认证之后的每次请求都携带token认证信息可能记录在请求头,可能记录在url参数中auth:每次请求携带用户的username和password,并对其信息加密oauth2(选修):携带身份信息请求认证服务端向指定回调地址回传code通过code获取token之后的请求信息都携带token。
接口测试中的Token(Postman中Token的获取和引用)
热门推荐
weixin_44901808的博客
08-25 1万+
Token的获取和引用
接口测试的面试题.docx
06-07
接口测试的面试题 在软件测试中,接口测试是指对两个或多个系统之间的数据交换的验证,以确保数据传输的正确性和一致性。下面是关于接口测试的知识点: 一、接口的定义和验证方式 接口的定义是指同一个系统不同...
2022非常全的接口测试面试题及参考答案
06-12
在进行接口测试时,需要首先从开发那里拿到 API 接口文档,了解接口业务、包括接口地址、请求方式、入参、出参、token 、返回格式等信息。然后使用 Postman 或 Jmeter 工具执行接口测试,包括新建线程组、HTTP ...
postman接口测试工具详解全-postman工具
最新发布
07-05
三、接口测试流程 1、接口测试分类 (1)测试外部接口 (2)测试内部接口 2、接口测试重点 3、接口测试流程 四、执行接口测试 1、postman元素含义 (1)请求 (2)响应 (3)调试 2、实例演示 (1)获取...
接口测试面试题及参考答案
10-09
接口测试是软件测试领域中的重要组成部分,特别是在当前的互联网时代,由于系统间的高度耦合,接口测试成为确保软件质量的关键环节。它主要关注的是不同组件或系统之间交互的点,即接口,通过模拟客户端发送请求并...
测试领域SDK测试分享
06-20
二、广告SDK接口测试类型 1. 功能测试:验证接口的功能正确性和完整性,包括各种场景和参数组合。 2. 兼容性测试:确保SDK在各种设备、操作系统版本和分辨率下运行正常,无内存泄漏和崩溃问题。 3. 网络相关测试:...
接口测试】Postman登录接口实战案例,跟着大牛通关...
m0_70102063的博客
11-03 1152
在做接口测试的时候,有些接口向后台请求数据的时候,是需要用户在登录情况下才有数据返回。以电商平台为例,用户的个人中心,用户的订单列表,用户的支付信息等等,所有用户维度的数据都是需要登录态。接口测试过程中需要登录情况。例子:现在有个获取订单列表的接口,需要用户登录下才能获取到数据。针对这种接口测试步骤基本可以分为:抓包->postman构造请求->完成测试。1、抓包使用任意的抓包工具,或者简单粗暴直接浏览器F12打开调试工具抓包。
接口自动化测试总结,接口+加密与解密+数据库操作/断言...
myh919的博客
12-07 556
1)后端接口常用方法cookie: 携带身份信息请求认证 之后的每次请求都携带cookie信息,cookie记录在请求头中token: 携带身份信息请求认证 之后的每次请求都携带token认证信息 可能记录在请求头,可能记录在url参数中auth: 每次请求携带用户的username和password,并对其信息加密oauth2(选修): 携带身份信息请求认证 服务端向指定回调地址回传code 通过code获取token 之后的请求信息都携带token。2)cookie
接口测试初了解
黑黑白白君的博客
06-05 3970
文章目录1.1 什么是?1.2 常见的方式1、HTTP Basic Authentication方式HTTP Basic Authentication方式的认证过程:HTTP Basic Authentication方式的注销HTTP Basic Authentication方式的适用范围2、token方式token方式流程:token方式适用场景*JWT(JSON WEB TOKEN)3、session + cookie方式session+cookie认证流程:*s
接口自动化测试基础之路 03】接口
alyone的博客
05-23 933
简单的接口方面的概念
接口安全测试之sqlmap
Gem丶超超的博客
12-08 985
sqlmap 简介 官网: https://sqlmap.org/ 认识: sqlmap是一个开源的渗透测试工具,它自动化了检测和利用SQL注入缺陷以及接管数据库服务器的过程。 特点: 1.支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2等常见的数据库。 2.支持六种SQL注入技术基于布尔的盲注、基于时间的盲注、基于错误的注入、基于联合查询的注入、堆叠查询注入和带外查询注入。 3.支持自动识别密码散列格式,并支持使
梦回丹霞的博客
05-13 458
页面是否进行限判断; 页面提交的资源标志是否与已登录的用户身份进行匹配比对; 用户登录后,服务器端不应再以客户端提交的用户身份信息为依据,而应以会话中保存的已登录的用户身份信息为准; 必须在服务器端对每个请求URL 进行,而不能仅仅通过客户端的菜单屏蔽或者Disable 按钮来限制。 横向越测试: 横向越测试包括两个方面:一是基于用户身份处理的横向越操作测试;二是基于资源ID处理的横向越操作测试。 Web 系统正常运行时,系统存在一个身份级别的控制,如某个页面...
8年经验之谈 —— 接口测试框架中的处理!_接口自动化的问题怎么处理
2401_84240129的博客
04-12 556
那我们再分析下查询余额的接口在发起时token信息是如何传递的,依然是fidder工具抓包,我们可以发现在请求的header中有一个字段叫做testfan-token,对应的值就是登录接口返回的token值。首先,使用脚本调用登录接口,并从返回信息中获取cookie,代码如下,该方法执行完成后会将登录后的cookies存储在代码中的cookies对象中。首先,使用脚本调用登录接口,并从返回信息中获取token,代码如下,该方法执行完成后会将登录后的token值存储在代码中的token变量中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值