postman的接口关联与参数化、Cookie、Session 、token、接口鉴权、requests设置代理抓包、requests库

一、接口关联

postman的接口

postman的接口关联配置：js代码，重点在于思路。

// 定义jsonData这个变量 接受登录接口的返回结果
var jsonData = JSON.parse(responseBody);
// 从返回结果里提取token/id值，并赋值给token/id变量值作为环境变量
pm.globals.set("token",jsonData.access_token)
pm.globals.set("type",jsonData.token_type)

关于这个工具具体的详细使用： 参数化 + 断言 + CSV批量等 都可以

二、接口鉴权 – 鉴别用户权限

鉴权：鉴定是否有权限访问。
要做鉴权的原因是： http协议本身是无状态【无记忆】的。每个http请求之间是没有关系的。 所以解决方案就是手动加上用户的凭证信息。方案主要有两种：

• cookie和session机制 ： 配套存在的两个概念

• token机制

cookie和session（网站用的比较多-web–ERP项目案例）
cookie是一门客户端技术，一般是由服务器生成返回给浏览器客户端来保存的，并且cookie是以键值对的形式保存在浏览器客户端的，每一个cookie都会有名称，值，过期时间…。cookie有很多使用场景，在项目中比较常见的有：

• 1.登录记住用户名

• 2.记录用户浏览记录

Cookie过期时间：

• 日期时间： 开发设置的过期时间
• 会话期间：浏览器关闭 cookies失效了。

Http协议是无状态的，Session是一种让请求从无状态变成有状态的机制，session是服务端的会话技术，当用户登录了系统，服务器端的就会创建一个会话，此会话中可以保存登录用户的信息。

思考问题： 在cookies和session机制有一个角色比较累== 服务器很累，存在很多用户的session。-- 存储压力 这种机制淘汰。

token机制（适用于任何的前端-L4mall项目案例）–替换更好的机制，更主流。

• session机制的缺陷: 服务器存储很多用户的会话信息 ，需要很多空间存储！ ==成本高。替代的方案就是token机制！

token的意思是“令牌”，是服务端生成的加密后一串字符串，作为客户端进行请求的一个标识。

• 服务器 ，不存储会话（加密【签名】+令牌），签名: 需要加密算法 + 秘钥，而这些只有服务器知道，用于后续的验证token的真实性

• token一般通过消息体某字段返回给客户端

• token也有时效性： 失效时间 看开发定义。

通过加密和解密计算，计算的成本 换取存储成本。

面试题：token和session,cookies有什么区别？优劣势？

token：-更加主流，可以适用于任何的前端

• 1-客户端发起登录请求并且登录成功之后，服务端生成一段加密之后的字符串，客户端会将此字符串设置在请求头里面，并且再去发送需要权限的请求

• 2-token不用服务器存储会话，解决了服务器存储的压力；但是每次校验都需要解密计算，也消耗CPU资源，用计算成本换取存储成本。

• 3-适用于各种形态的应用，包括web app等。

cookie+session：网站用的比较多

• 1- 客户端发起登录请求并且登录成功之后，服务端生成session（会话），并且生成一个session id与之对应，服务端会将session id设置在响应头set-cookie，客户端自动识别set-cookie响应头字段，并且将其值保存到本地的cookie中，之后如果需要权限就只需要从cookie中取出来session id即可

• 2-服务器需要存储会话信息，有很大的存储压力。

• 3-适用于web应用，cookies存储再浏览器里，比较容易丢失。

接口鉴权的步骤

第一步：通过登录接口，获取权限令牌。

• 服务端返回权限令牌给客户端， 每次登录令牌值都不一样。

第二步：在接下来的每一个请求当中，都带上权限令牌。

• 以什么样的形式带上，开发人员决定，可以是请求头带 或者请求体带， 开发封装接口的时候决定形式。

做接口测试，第一步要解决的问题：项目是什么样的鉴权方式。

postman工具如何处理鉴权？

• 在登录之后的接口，做数据提取token
• 存储在环境变量里
• 后续接口需要用再调用 == {{变量名}}

// 定义jsonData这个变量 接受登录接口的返回结果
var jsonData = JSON.parse(responseBody);
// 从返回结果里提取token/id值，并赋值给token/id变量值作为环境变量
pm.globals.set("token",jsonData.access_token)
pm.globals.set("type",jsonData.token_type)

Python代码如何处理鉴权

requests是Python中简单好用的HTTP库【第三方库】，可以模拟客户端向服务器发送请求。

• 第一步安装：pip install requests

• 第二步引入模块：import requests

• 第三步操作：发起一个请求(get,post)

import requests


# 第一步 执行登录接口
url_login = "http://shop.lemonban.com:8107/login"
param = {"principal":"lemon_py","credentials":"12345678","appType":3,"loginType":0}
response = requests.request(method="post",url=url_login,json=param)  # 这种更加通用 重点掌握。
login_resp = response.json() # 字典格式

# 第二步： 获取登录结果里token,赋值给变量
token = login_resp["access_token"]
token_type = login_resp["token_type"]

# 第三步： 上传接口里调用这个变量-- 在请求头里传token值进去
url= "http://shop.lemonban.com:8107/p/file/upload"
file_obj = {"file":("py65图片",open("tricy.png","rb"))}  # 文件参数
header= {"Authorization":f"{token_type}{token}"}  # 请求头 拼接token变量
res = requests.request(method="post",url=url,files=file_obj,headers=header)
print(res.text)

1.1 发送GET请求 -搜索接口

requests.get(url, params=None, **kwargs)

• url： 接口地址
• params：查询参数，为可选参数，该参数是一个字典类型
• **kwargs：其他可选参数，如headers，files，cookies，auth，timeout，json等
  • 注意1： 必须要关键字名字一致 因为要名字一致才能被服务器认识
  • 注意2：要用字典格式传输

import requests
url="http://mall.lemonban.com:8107/search/searchProdPage"
params= {"prodName":"phone"}
response = requests.get(url=url,params=params)
print(response) # Response对象，可以获取详细信息
print(response.status_code) # 获取响应状态码
print(response.headers) #获取响应头
print(response.text) #获取响应数据
print(response.json()) # 把json格式的响应数据，转换成python字典
print("http响应头中的cookies：",dict(response.cookies)) # 获取cookie

1.2 发送POST请求-- 登录接口
参数有data 和json ，这是因为post请求发送的参数在请求体，请求数据的格式我们上节课讲过有三种比较主流的类型，分别用来传参的关键字是不一样的。

requests.post(url, data=None, json=None, **kwargs)

【application/json】 – 电商项目的登录接口
json传参，需要用到json参数 ， 默认就会content-type 等于application/json，这个头部都可以不传。

import requests
# post请求 --application/json
url="http://shop.lemonban.com:8107/login"
params=
{"principal":"lemon_py","credentials":"12345678","appType":3,"loginType":0}
response = requests.post(url=url,json=params)
print(response) # Response对象，可以获取详细信息
print(response.status_code) # 获取响应状态码
print(response.headers) #获取响应头
print(response.text) #获取响应数据
print(response.json()) # 把json格式的响应数据，转换成python字典
print("http响应头中的cookies：",dict(response.cookies)) # 获取
cookie

【application/x-www-form-urlencoded】 - ERP项目的登录接口url编码传参，需要用到data参数进行传参

import requests
# post请求- form-data
params =
{"loginame":"admin","password":"e10adc3949ba59abbe56e057f20f883e"}
url = "http://erp.lemfix.com/user/login"
response = requests.post(url=url,data=params)
print(response) # Response对象，可以获取详细信息
print(response.status_code) # 获取响应状态码
print(response.headers) #获取响应头
print(response.text) #获取响应数据
print(response.json()) # 把json格式的响应数据，转换成python字典
print("http响应头中的cookies：",dict(response.cookies)) # 获取
cookie

【multipart/form-data】— 上传文件接口，这个接口需要鉴权

当我们需要传输大容量的数据到服务端时（比如上传文件），我们通常使用multipart/form-data传参类型

在requests中通过指定files参数用来处理文件上传的；files参数的值，也必须是字典，字典的内容如下：
{name: (filename,文件对象(open打开),媒体类型(Content-Type))}

name是你传的是啥 ，开发定义的名字参数的名字

filename： 可以自己定义上传的文件的名字 不用跟真实的名字一样； 抓包就是直接用的文件名字；然后会显示在数据库里filename字段里。 不加 就默认用文件本身的名字。

媒体类型：content-type也可以不加， 其实就是MIME类型，但是可以不加 可以自动识别识别文件媒体类型。

注意事项：不需要加content-type，因为files这个参数默认就会用multipart/form-data 这个格式传输，上传文件接口数据类型是这个；

import requests
url = "http://shop.lemonban.com:8107/p/file/upload"
method = "post"
file_obj = {"file":("pythontest.png", open("code.png", "rb"),
"image/jpeg")}
res = requests.request(method,url,files=file_obj)
print(res.text)

但是报错，是因为没有鉴权。

处理接口鉴权

• 上传文件接口需要用户先登录再操作，所以上传之前先登录。
• 提取登录后返回的token
• 提取token 的方法 ：用json()转化为字典格式，再用字典取值
  • jsonpath
• 再给上传接口使用。

import requests
#登录接口
url="http://shop.lemonban.com:8107/login"
params=
{"principal":"lemon_py","credentials":"12345678","appType":3,"loginType":0}
response= requests.request(method="post",url=url,json=params)
token = response.json()["access_token"]
print(token)
url = "http://shop.lemonban.com:8107/p/file/upload"
method = "post"
file_obj = {"file":("pythontest.png", open("tricy.png", "rb"))}
head = {"Authorization":"bearer"+token}
res =
requests.request(method="post",url=url,files=file_obj,headers=head)
print(res.text)

cookies鉴权

"""
cookies鉴权 ： session相关的。
如果我登录用session发送，后续所有的都在用这同一个session里操作，那么我就可以自动带上的登录cookies 不需要手动传。

代码实现： 不用requests库 直接发送接口请求，用实例化的Session类。
"""
import requests

# 实例化操作
session = requests.Session()

# ERP项目登录
url= "http://erp.lemfix.com/user/login"
param = {"loginame":"test123","password":"e10adc3949ba59abbe56e057f20f883e"}
res = session.request(method="post",url=url,data=param)
# res = requests.request(method="post",url=url,data=param)
print(res.text)

# 添加角色接口
url = "http://erp.lemfix.com/role/add"
param = {"info":'{"name":"333"}'}
resp = session.request(method="post",url=url,data=param)
# resp = requests.request(method="post",url=url,data=param)
print(resp.text)

requests设置代理抓包

让Fiddler能够抓取到requests代码发送过来的请求：调试利器
proxies = { “http”:“http://ip:端口号”}如果请求发送不成功，可以设置fiddler作为代理：抓包查看。

proxies = {"http":"http://192.168.0.104:8887"}
requests.get(url, proxies=proxies)

"""
定位问题小技巧： 如果接口请求发送失败了，那么可以设置代理，引导fiddler，可以在fiddler里查看请求信息 定位问题
proxies = { "http":"http://ip:端口号"}
"""
import requests

proxies = {"http":"http://192.168.31.25:8887"}# 本地ip,fiddler上的拦截端口
url= "http://erp.lemfix.com/user/login"  #项目地址
param = {"loginame":"test123","password":"e10adc3949ba59abbe56e057f20f883e"}  #登陆信息

res = requests.request(method="post",url=url,data=param,proxies=proxies)
print(res.text)

requests库

发送各种接口的请求： get post请求
各种参数类型： json 表单格式 等

requests发送接口请求之后的结果是响应消息。

注意： 在requests库里，除了url和请求方法之外，其他的数据都要用字典的格式传输。

传参的方式：
1、get请求，params 接受
2、post请求：content-type的类型有关系。

• application/json格式数据，json关键字接受参数
• application/x-www-form-urlencoded，data关键字接受参数

import requests

# post 请求 --请求的四大要素,登录接口  == application/json格式数据，json关键字接受参数
url_login = "http://shop.lemonban.com:8107/login"
param = {"principal":"lemon_py","credentials":"12345678","appType":3,"loginType":0}
header = {"Content-Type":"application/json; charset=UTF-8"}
# json参数接受，那么content-type的头部可以不传。

# response = requests.post(url=url,json=param,headers=header)
response = requests.request(method="post",url=url_login,json=param)  # 这种更加通用 重点掌握。
print(response) # Response对象，可以获取详细信息
print(response.status_code)  # 获取响应状态码
print(response.headers)  #获取响应头
print(response.text)   #获取响应数据 --响应体字符串格式
print(response.json())  # 把json格式的响应数据，转换成python字典--响应体字典格式

# get请求 -- 搜索接口, 如果请求方法是get方法 参数就是params接受
# url_search = "http://shop.lemonban.com:8107/search/searchProdPage?prodName=真皮圆筒包"
# resp = requests.request(method="get",url=url_search)

url_search = "http://shop.lemonban.com:8107/search/searchProdPage"
param = {"prodName":"真皮圆筒包"}
resp = requests.request(method="get",url=url_search,params=param)
print(resp.text)

发送各种接口的请求： get post请求
各种参数类型： json 表单格式 等

requests发送接口请求之后的结果是响应消息。

注意： 在requests库里，除了url和请求方法之外，其他的数据都要用字典的格式传输。

传参的方式：
1、get请求，params 接受
2、post请求：content-type的类型有关系。

• application/json格式数据，json关键字接受参数,content-type的头部不需要传 默认就是json
• application/x-www-form-urlencoded，data关键字接受参数，content-type的头部不需要传 默认就是form
• multipart/form-data：支持文件/图片等传输 ,一般都是文件 图片上传接口

import requests

#application/x-www-form-urlencoded，data关键字接受参数  --ERP项目

url= "http://erp.lemfix.com/user/login"
param = {"loginame":"test123","password":"e10adc3949ba59abbe56e057f20f883e"}
res = requests.request(method="post",url=url,data=param)
print(res.text)

发送各种接口的请求： get post请求
各种参数类型： json 表单格式 等

requests发送接口请求之后的结果是响应消息。

注意： 在requests库里，除了url和请求方法之外，其他的数据都要用字典的格式传输。

传参的方式：
1、get请求，params 接受
2、post请求：content-type的类型有关系。

• application/json格式数据，json关键字接受参数,content-type的头部不需要传 默认就是json
• application/x-www-form-urlencoded，data关键字接受参数，content-type的头部不需要传 默认就是form
• multipart/form-data：支持文件/图片等传输 ,一般都是文件 图片上传接口
  – 二进制流的格式传输的
  – 需要files关键字接受 文件参数。
  - 文件参数也要用字典的格式表示：
  {name: (filename,文件对象(open打开),媒体类型(Content-Type))}
  • name是你传的是啥 ，开发定义的名字参数的名字
  • filename：可以自己定义上传的文件的名字 不用跟真实的名字一样； 抓包就是直接用的文件名字；然后会显示在数据库里filename字段里。 不加 就默认用文件本身的名字。
  • 媒体类型：content-type也可以不加， 其实就是MIME类型，但是可以不加 可以自动识别识别文件媒体类型。

但是如此执行接口报错： “error”:“unauthorized” 因为这个接口需要token鉴权。

• 但是是登录之后才能操作的接口都需要鉴权。 登录之前接口不需要。

import requests

# 上传接口 ： multipart/form-data：支持文件/图片等传输 ,一般都是文件 图片上传接口  files接受参数

url= "http://shop.lemonban.com:8107/p/file/upload"
# file_obj = {"file":open("tricy.png","rb")}  # 文件参数
file_obj = {"file":("py65图片",open("tricy.png","rb"),"image/jpeg")}  # 文件参数
res = requests.request(method="post",url=url,files=file_obj)
print(res.text)

问题：
1、fiddler代理设置不成功的，设置了代理就接口发送不通的，把代理的IP地址设置为127.0.0.1【本机回环地址】
2、get请求方法，参数接受用params关键字；
post请求，参数接受用data或者json关键字；

• data： 当参数格式是表单格式的
• json： 当参数格式是json格式的
  文件上传接口： 用files关键字接受
  3、json文件格式化输出 快捷键 ： alt + ctrl +L

get和post的区别

1. 参数传递方式
   GET:

请求参数通过 URL 传递，附加在 URL 的末尾，使用 ? 分隔路径和查询字符串，多个参数之间用 & 连接。
由于参数暴露在 URL 中，GET 请求通常用于请求不敏感的数据。
POST:

请求参数通过请求体传递，不显示在 URL 中。
POST 请求适合传输大量数据和敏感数据，如登录表单、文件上传等。
2. 数据大小限制
GET:

由于 URL 长度的限制，GET 请求传输的数据量有限。不同浏览器和服务器对 URL 长度的限制不同，但通常在 2048 字符以内。
POST:

POST 请求可以传输大量数据，大小限制通常由服务器和具体实现来决定。理论上，POST 数据量可以比 GET 大得多。
3. 安全性
GET:

请求参数暴露在 URL 中，不适合传输敏感信息，可能会被浏览器缓存，也可能在浏览器历史记录和服务器日志中留下。
POST:

参数在请求体中，不会暴露在 URL 中，相对更安全，但并不加密，需要 HTTPS 来保护敏感信息。
4. 幂等性
GET:

GET 请求是幂等的，每次请求对服务器资源的影响是相同的，通常用于获取数据，不改变服务器状态。
POST:

POST 请求不是幂等的，每次请求可能导致不同的结果，比如多次提交表单可能导致重复的数据库记录。
5. 用途
GET:

用于请求和获取数据，适合不改变服务器状态的操作，如获取页面内容、搜索查询等。
POST:

用于提交数据和对服务器资源进行修改的操作，如表单提交、文件上传、添加数据等。
总结
GET 请求适合用于获取数据和请求不敏感信息，遵循幂等性原则。
POST 请求适合用于提交数据和修改服务器上的资源，支持较大的数据量传输，不遵循幂等性原则。