接口自动化测试-鉴权/授权/认证

最新推荐文章于 2024-08-17 13:30:38 发布
最新推荐文章于 2024-08-17 13:30:38 发布
阅读量4.9k 收藏 20
点赞数 1
分类专栏: Requests 文章标签: 自动化测试 授权 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14908027/article/details/78013534
版权

前言

对于绝大多数成熟的系统来说,鉴权是非常普遍且重要的一个内容,通俗一点的理解就是登陆账号,通过登陆建立与服务器的“信任”,然后就可以赋予客户端操作的权限。这里推荐大家一个“玩”接口学习的网站 “http://httpbin.org”,里面包含了各种类型的接口形式,例如简单的post,get,delete,put请求类型,cookie使用,鉴权等。
这里写图片描述

HTTP认证分类

1、基本验证 Basic Authentication
2、摘要验证 Digest Authentication
3、授权验证 Oauth Authentication
4、证书验证

ssl证书验证
客户端证书验证

5、自定义身份验证

基本验证 Basic Authentication

输入的用户名和密码会按照username:password的格式拼接后用base64编码,填入请求报文头部的Authorization域,如Basic bWFyczpsb28=。如果输入的是错误的用户名和密码,服务器会反复要求输入用户名及密码,直至正确或用户点击取消按钮放弃认证。如果输入的是正确的用户名及密码,浏览器返回认证通过后的页面。
由于base64编码本身是可逆的过程,所以如果有中间人截获报文后,通过重放攻击即可获取正确授权。基本认证这种方式适合于弱认证要求的场景:
这里写图片描述
这里在网页输入账号和密码 “user”和“passwd”,回车之后打开的页面显示授权成功,账号名为“user”如下图所示
这里写图片描述
Python里面我们使用requests模块实现这个鉴权方式,代码如下

方式1

#coding=utf-8
'''
@author=Savitar
'''
import requests

#basic auth
url = "http://httpbin.org/basic-auth/user/passwd"

r = requests.get(url,auth=('user','passwd'))

print(r.text)

控制台返回与网页的表现一致,说明我们的请求授权成功
这里写图片描述

方式2

当然我们也可以使用另外一种方式来实现Basic授权,通过导入reqests.auth模块中的HTTPBasicAuth方法,返回的结果与上面一致

#coding=utf-8
'''
@author=Savitar
'''
import requests

from requests.auth import HTTPBasicAuth
url = "http://httpbin.org/basic-auth/user/passwd"
r1 = requests.get(url,auth=HTTPBasicAuth('user','passwd'))
print(r1.text)

摘要验证Digest Authentication

浏览器收到响应后,弹出对话框要求用户输入用户名和密码。与基本认证不同在于,摘要认证不会发送原始密码,注意请求中的response字段,是通过其他字段及密码经过一系列摘要运算(md5)得到的
具体的浏览器页面与基本验证相同,并且输入正确的账号密码后,页面的文本信息也一致,我们直接上Python代码实现摘要验证

#coding=utf-8
'''
@author=Savitar
'''
import requests
from requests.auth import HTTPDigestAuth
url = "http://httpbin.org/digest-auth/auth/user/passwd/MD5/never"
r2 = requests.get(url,auth=HTTPDigestAuth('user','passwd'))
print(r2.text)

这里我们使用的方法则为HTTPDigestAuth,接口返回信息如下
这里写图片描述

授权验证Oauth Authentication

授权验证则是通过三方服务授权得到的验证,假设我们使用QQ登录我们自己的服务器,我们自己的服务器如何认为授权ok的?以博主自己的项目经验,我们的服务器向qq发起授权,用户登录qq并且在qq认证成功之后会返回一个code的值,我们拿到这个返回值之后,认为用户授权成功。

SSL验证

这种就是在我们使用https请求的时候经常遇到,但一般接口请求失败的时候,我们会使用“verify=False”来规避https请求产生的问题。以下代码我们延时verify参数的用处。

#coding=utf-8
'''
@author=Savitar
'''
import requests
url = "https://httpbin.org"
r = requests.get(url)
print(r.headers['Date'])

r1 = requests.get(url,verify=True)
print(r1.headers['Date'])

r2 = requests.get(url,verify=False)
print(r2.headers['Date'])

我们请求httpbin的首页,并打印headers中的Date数据,输出如下

 C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\python.exe C:/Users/Administrator/PycharmProjects/PythonLearn/auth.py
Sun, 17 Sep 2017 13:10:21 GMT
Sun, 17 Sep 2017 13:10:32 GMT
C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\lib\site-packages\urllib3\connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
Sun, 17 Sep 2017 13:10:39 GMT
Process finished with exit code 0

r1和r2的打印输出基本一致(获取的时间不同),而在打印r3的时候会出现提示,不安全的请求。这是因为我们访问的是https的请求,但是我们拒绝了ssl认证导致的,虽然它仍会打印出时间。

自定义身份验证

转接http://www.cnblogs.com/wangqiaomei/p/5502439.html,这篇博客主要讲述了自定义form表单验证,大家可以过去学习一下。

长歌丶
关注
专栏目录
接口测试 03 -- 接口自动化思维 & Requests库应用
weixin_54104072的博客
01-21 1027
Requests库简介Requests 是用Python语言编写,基于 urllib,采用 Apache2 Licensed 开源协议 的 HTTP 库。它比 urllib 更加方便,可以节约我们大量的工作,完全满足 HTTP 测试需求。官网介绍:https://cn.python-requests.org/zh_CN/latest/Requests也可用于爬虫JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,常用于数据的序列化和传输。
设计接口时,为其添加签名鉴权---详细教程
阿土不土的博客
01-23 1828
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
接口测试框架中的鉴权处理
Testfan_zhou的博客
01-26 1118
接口测试框架
API接口鉴权
最新发布
qq_40660283的博客
08-17 357
由于api接口直接暴露在服务器上容易被恶意攻击,所有使用接口鉴权来拦截恶意请求,使用时间戳+appId+secret+参数排序生成MD5加密传输.被调用api接口使用AOP切面添加注解使用鉴权注解
接口测试鉴权测试
m0_58079308的博客
07-04 4420
我们做个假设,加入没有这样的鉴权机制,那么我如果知道了你的ip,以及请求URL,那么我就可以随意的访问你的资源 所以才必须有了鉴权
授权鉴权
热门推荐
sjy8207380的专栏
02-28 1万+
1,前言 在这里总结一下工作中遇到的鉴权授权的方法 ① 固定token的方案 通过在nginx或者代码中写死token,或者通过在限制外网访问的方式已来达到安全授权的方式 ② session方案 分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中。当用户访问微服务时,用户数据可以从共享存储中获取。 ③ 客户端token方案 例如JWT,令牌在客户端生成,由身份验证服务进行...
接口测试基础和jmeter
diaoqiaohai5121的博客
05-08 201
1.接口 接口分为两种:一种内部接口,一种对外接口。 2.接口的分类 webService接口是走soap协议通过http传输,请求报文和返回报文都是xml格式的,我们在测试的时候都用通过工具才能进行调用,测试。 http api接口是走http协议,通过路径来区分调用的方法,请求报文都是key-value形式的,返回报文一般都是json串,有get和post等方法,这也是最常用...
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2814
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口的权限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
python自动化测试学习笔记(十八)接口基础、http协议及鉴权方式
zhoukeguai的博客
10-21 598
xx
接口测试及接口自动化(一:接口基本知识)
weixin_47133439的博客
12-22 935
愿生活里有热汤和甜食,背包里有纸,笔,书。书里故事如迷宫,迷宫通向海。沟通使误解消除,善意如星辰。枝头常有喜鹊歇脚,目明心亮。走很远的路回家,混沌中生出新的自己。–网易云热评 文章目录一、接口的概念1.接口概念:二、接口基础知识1.请求2.响应总结 一、接口的概念 1.接口概念: 讲究覆盖率,覆盖的越多越好 1.接口:两个不同事物交互的地方,两个系统或者两个不同的程序。安装客户端—输入用户名密码–去服务端进行权限校验—校验成功\失败–返回客户端 发送一个登录请求, 接口是连接、适配两个不同的东.
软件测试面试题之自动化测试题大合集(下)
ifling99的博客
09-20 1101
1.分别说出web和app元素定位方法 Web:id、xpath、name、class_name、tag_name、link_text、partial_link_text、css_selector app: id、classname、xpath 2. get和post不同点 GET - 从指定的资源请求数据。请求的数据会附加在URL之后,以?分割URL和传输数据,多个参数用&连接 POST - 向指定的资源提交要被处理的数据。POST请求会把请求的数据放置在HTTP请求包的包体中
接口自动化测试之获取token
08-07
代码简单明了,可以复制粘贴、很实用,包含了两种获取方式
接口测试 01 -- 基础与原理
weixin_54104072的博客
01-17 931
接口测试分为两种手段:手工测试、自动化测试。接口测试是对系统或组件之间的接口进行测试,主要校验数据的交换、传递和控制管理过程,以及相互逻 辑依赖关系。而接口自动化测试是让程序代替人为对接口项目进行自动化验证测试的过程。------->>>● 功能测试:验证接口在不同输入条件下的功能行为,包括对请求的处理、数据处理和响应的验证。● 性能测试:评估接口的性能,包括响应时间、吞吐量、并发性等方面的测试。● 安全测试:检查接口的安全性,包括对输入参数的验证、数据加密、防止攻击和数据泄露等方面的测试。
接口自动化 --- 授权鉴权 以及实例说明
Monkey__yuan的博客
05-19 2329
一、 接口授权鉴权相关概念 什么是授权,什么是鉴权 授权: 相当于给一个通行证,由服务器下发 鉴权: 鉴定是否有权限访问(判断有没有通行证) 目前最常用三种认证机制 1) Cookies 2) Session 3) token 二、 实例说明: 接口文档说明 2 实现思路: i) 登录接口:成功登录后获取响应体中的token信息 ii ) 其他接口(请求头Authorization 需要token信息),需要将token信息拼接进请求头中 代码实现示例 1) 登录接口
Postman 关联接口测试(带有token鉴权
Asaasa1的博客
08-05 1023
一、登陆接口 1. 创建一个request请求(响应结果假设是下面的json) { "code": 0, "msg": "OK", "data": { "id": 8036687, "account": "XXXX", "token": "eyJhbGciOiJIUzUxMiJ9.eyJtZW1iZXJfaWQiOjgwMzY2ODcsImV4cCI6MTU4NzUyNzg0OX0.L7lDiNs70mAZk6yxhAxDwDC95IS
鉴权授权简介
菜鸟厚非
04-07 542
背景 目前互联网上帐号管理方式: 1、单一帐号系 统。只提供单一服务的网站采用的用户帐号管理模式。用户注册后使用此帐号可以在其网上上实现所有功能操作。 2、通行证。例如腾讯、163、微 软等提供多套服务的网站采用的帐号管理程序。用户在注册一次之后,使用该帐号可以在这些网站所属群里面自由使用。 OAuth2 身份认证授权。OAuth2不是身份认证(Authentication)协议,OpenId Connect可以进行身份认证(Authentication)。 OIDC,基于OAuth2的身份认
认证授权鉴权和权限控制
C18298182575的博客
09-09 1184
目录 1. 认证 2. 授权 3. 鉴权 4. 权限控制 5. 认证授权鉴权和权限控制的关系 6. 认证鉴权的关系 7. 小结 8. 参考文献 本文将对信息安全领域中认证授权鉴权和权限控制这四个概念给出相应的定义,并对这个概念之间的相互关系进行梳理。本文给出的概念定义将有助于后续文章中对互联网应用开发用户登录功能的更多讨论。 注:本文讨论的互联网应用开发,主要是指web应用和移动应用的开发。 1. 认证 认证是指根据声明者所特有的识别信息,确认声明者的身份。认证在英文...
一文搞定权限管理!授权鉴权超详细解析
Viper的程序员修炼手册
06-30 5436
一文搞定权限管理!授权鉴权超详细解析 授权概览 什么是授权 (Authorization)? 广义上的授权: 是上级将完成某项工作所必须的权力授给部属人员;是领导者通过为员工和下属提供更多的自主权,以达到组织目标的过程。 信息系统中的授权: 是管理员将某些资源的访问、管理、操作等权限赋予用户,达到管理和使用的目的。譬如主机的访问使用权限,某项功能菜单的使用权限亦或是某个数据的读写权限。 本文将对信息系统中的授权进行着重讲解 授权的意义 授权管理是所有业务系统不可缺少的一部分! 企业角度: 1)贴合管理制度
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值