接口测试 requests的身份认证方式

最新推荐文章于 2024-05-25 09:00:00 发布
最新推荐文章于 2024-05-25 09:00:00 发布
阅读量1.2w 收藏 16
点赞数 2
分类专栏: 接口测试 文章标签: 接口测试 requests的身份认证方式

requests提供多种身份认证方式,包括基本身份认证、netrc 认证、摘要式身份认证、OAuth 1 认证、OAuth 2 与 OpenID 连接认证、自定义认证。这些认证方式的应用场景是什么呢?

身份认证的定义

身份认证是使用用户提供的凭证来识别用户。

  • session会话保存,用来保持会话的状态;

  • token是对用户进行授权。

  • 身份认证和授权的关系:需要先获取身份信息才能进行授权

身份认证的类型

1、基本身份认证

  • HTTP Basic Auth是HTTP1.0提出的认证方式

  • 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式

  • 当认证失败时,服务器收到客户端请求,返回401 UNAUTHORIZED,同时在HTTP响应头的WWW-Authenticate域说明认证方式及认证域

# 响应头WWW-Authenticate: Basic realm="***"

  • requests以 HTTP Basic Auth 发送请求,示例:

  • 事实上,HTTP Basic Auth 如此常见,Requests 就提供了一种简写的使用方式(事实上,很难找到用http基本身份认证方式的网站了):

>>> requests.get('https://api.github.com/user', auth=('user', 'pass'), verify=False)
<Response [200]>

2、netrc 认证

  • 如果认证方法没有收到 auth 参数,Requests 将试图从用户的 netrc 文件中获取 URL 的 hostname 需要的认证身份

  • 如果找到了 hostname 对应的身份,就会以 HTTP Basic Auth 的形式发送请求

  • 简而言之,需要预先将认证的host及用户名、密码以明文方式存在netrc文件中,这种方式也是非常不安全的

3、摘要式身份认证

  • digest authentication:在HTTP 1.1提出,目的是替代http 1.0提出的基本认证方式

  • 服务器收到客户端请求后返回401 UNAUTHORIZED,同时在WWW-Authenticate字段说明认证方式是Digest,其他信息还有realm域信息、nonce随机字符串、opaque透传字段(客户端会原样返回)等


摘要式身份认证的步骤

参考文章:https://blog.csdn.net/jansony1/article/details/52430577

  1. 客户端访问一个受http摘要认证保护的资源。

  2. 服务器返回401状态以及nonce等信息,要求客户端进行认证。

HTTP/1.1 401 Unauthorized 
WWW-Authenticate: Digest 
realm="testrealm@host.com", 
qop="auth,auth-int", 
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", 
opaque="5ccc069c403ebaf9f0171e9517f40e41"

  1. 客户端将以用户名,密码,nonce值,HTTP方法, 和被请求的URI为校验值基础而加密(默认为MD5算法)的摘要信息返回给服务器。
    认证必须的五个情报:

・ realm : 响应中包含信息 
・ nonce : 响应中包含信息 
・ username : 用户名 
・ digest-uri : 请求的URI 
・ response : 以上面四个信息加上密码信息,使用MD5算法得出的字符串。
Authorization: Digest 
username="Mufasa", ← 客户端已知信息 
realm="testrealm@host.com", ← 服务器端质询响应信息 
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", ← 服务器端质询响应信息 
uri="/dir/index.html", ← 客户端已知信息 
qop=auth, ← 服务器端质询响应信息 
nc=00000001, ← 客户端计算出的信息 
cnonce="0a4f113b", ← 客户端计算出的客户端nonce 
response="6629fae49393a05397450978507c4ef1", ← 最终的摘要信息 ha3 
opaque="5ccc069c403ebaf9f0171e9517f40e41" ← 服务器端质询响应信息

  1. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。
    注意事项:

    ※ nonce:随机字符串,每次返回401响应的时候都会返回一个不同的nonce。
    ※ nounce:随机字符串,每个请求都得到一个不同的nounce。
    ※ MD5(Message Digest algorithm 5,信息摘要算法)
    1)用户名:realm:密码 ⇒ ha1
    2)HTTP方法:URI ⇒ ha2
    3)ha1:nonce:nc:cnonce:qop:ha2 ⇒ ha3

    1. 避免将密码作为明文在网络上传递,相对提高了HTTP认证的安全性。

    2. 当用户为某个realm首次设置密码时,服务器保存的是以用户名,realm,密码为基础计算出的哈希值(ha1),而非密码本身。

    3. 如果qop=auth-int,在计算ha2时,除了包括HTTP方法,URI路径外,还包括请求实体主体,从而防止PUT和POST请求表示被人篡改。

    4. 但是因为nonce本身可以被用来进行摘要认证,所以也无法确保认证后传递过来的数据的安全性。

requests处理摘要式认证示例


另一种非常流行的 HTTP 身份认证形式是摘要式身份认证,Requests 对它的支持也是开箱即可用的。


  • 可以看到,当认证失败,返回401时,header中包含的信息:



    image.png


4、OAuth 1 认证


Oauth 是一种常见的 Web API 认证方式。 requests-oauthlib 库可以让 Requests 用户简单地创建 OAuth 认证的请求。
查看OAuth1的原理,可以查看微博的api:http://open.weibo.com/wiki/index.php/Oauth

  • 要使用OAuth验证,首先需要获取到对应的access_token等信息。

  • 官方示例如下:



    OAuth1.png

5、OAuth 2 与 OpenID 连接认证

  • OAuth2是OAuth1的升级版,requests-oauthlib 库还可以处理 OAuth 2,OAuth 2 是 OpenID 连接的基础机制。

6、requests处理token

  • 每次登录后,返回的token信息都是不同的,因此要再次向服务端传送token信息;

  • 以github接口为例,获得token后,查看用户拥有的权限:


    image.png

总结

  • 理解基本认证方式和摘要认证方式的原理

  • OAuth认证是目前大部分api采用的认证方式

  • token是在服务器端生成的一个令牌,这个令牌有时间期限和权限,就比如皇宫大内中的不同职责的人员拿着令牌能进入的场所不同

魔都飘雪
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
8. Requests库_SSL验证 & 代理设置
安小静--
09-27 972
1.SSL证书验证 Requests可以模拟Web浏览器,实现对HTTPS请求来验证SSL证书。SSL验证默认是开启的,若证书验证失败,Requests会抛出SSLError;若不想验证SSL则可以使用verify参数(verify=False)关闭验证SSL。 以验证12306网站的证书为例,如下: 1)保持默认开启SSL证书验证,发送请求 import requests r = requests.get('https://www.12306.cn') print(r.text) 执行结果: ssl.C
python web接口开发与测试
12-01
9. 安全性:接口测试也包括安全方面的检查,例如防止SQL注入、XSS攻击等。Python的`pycryptodome`库可用于加密通信,`flask-bcrypt`可处理密码哈希,`Flask-Security`提供了一套完整的安全解决方案。 10. 性能优化...
Python requests接口测试实现代码
09-16
主要介绍了Python requests接口测试实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
requestsauth参数
u的博客
12-08 1293
http的authrequestsauth参数。python3的requests库的auth参数。其中的auth可以直接拼接在url里。
Nginx的auth_request 模块详解与应用指南
最新发布
你知道莽村的莽怎么来的吗!
05-25 631
对于Web开发者来说,Nginx是一个强大且灵活的Web服务器和反向代理服务器。其模块化设计让我们可以根据需求定制Nginx的功能。在安全性和访问控制方面,Nginx的auth_request模块是一个非常有用的工具。本文将详细介绍auth_request模块的用途、使用场景,并通过示例代码来说明其具体应用。auth_request 模块是Nginx的一个官方模块,用于在处理客户端请求时,将这些请求传递给一个外部的认证服务进行认证。
Requests库常用方法及参数介绍
pythonhy的博客
01-29 2099
Requests 库中定义了七个常用的请求方法,这些方法各自有着不同的作用,在这些请求方法中 requests.get() 与 requests.post() 方法最为常用。
Requests教程-18-auth认证
米兔软件测试
03-18 772
上一小节我们学习了requests请求设置代理的方法,本小节我们讲解一下requestsauth认证。
requests 之 高级用法:文件上传、Cookie设置、Session保持、SSL证书验证、超时设置、身份认证...
Mountain_tai_li的博客
08-05 74
requests 库还具有一些高级用法,如文件上传、Cookie设置、Session保持、SSL证书验证、超时设置、身份认证等。1、文件上传requests 通过 post 实现文件上传方式如下:import requests url = 'https://www.httpbin.org/post' with open('favicon1.ico', 'rb') as file: file...
接口测试框架cookie_cookie_接口测试框架_
10-02
Cookie在接口测试中的作用不容忽视,它是服务器端存储在客户端(浏览器)的一小段信息,通常用于身份验证、会话管理等。在自动化接口测试中,我们可能需要模拟用户登录状态,这就涉及到设置和管理Cookie。requests库...
接口测试入门到实战精通-【软件测试】
06-30
- **认证与授权**:测试接口的身份验证机制,如OAuth2.0,JWT等。 - **数据加密**:检查传输数据是否加密,防止数据泄露。 - **SQL注入**:确保接口不能被利用进行SQL注入攻击。 - **XSS攻击**:测试接口返回...
Python的简单接口自动化测试源代码
07-07
3. **全局变量与数据关联**:`def setup`函数可能是指测试前的初始化操作,通常在这里设置全局变量,如`token`,这可能涉及到接口调用的身份验证。如果接口需要其他关联参数,可以通过类似的方式在该函数中添加,...
Python web接口开发与测试
11-02
对于接口测试,可以使用requests-mock模拟HTTP响应,或者使用专门的接口测试工具如Postman、curl或Python的httpie。 六、自动化测试与持续集成 持续集成(CI)和持续部署(CD)是现代开发流程的重要组成部分。通过...
python的requests快速上手、高级用法和身份认证
一个菜鸟的博客
02-16 1251
快速上手 迫不及待了吗?本页内容为如何入门 Requests 提供了很好的指引。其假设你已经安装了 Requests。如果还没有,去安装一节看看吧。 首先,确认一下: Requests已安装 Requests是最新的 让我们从一些简单的示例开始吧。 发送请求 使用 Requests 发送网络请求非常简单。 一开始要导入 Requests 模块: >>> im...
Python 使用 Requests 模块进行身份验证!
Pythoncxy的博客
07-17 2531
Requests 可以说是 Python 最好用的 http 模块,没有之一。 它对于身份验证有非常方便的使用规则。 Python资源共享群:484031800 基本身份验证 >>> from requests.auth import HTTPBasicAuth >>> requests.get('https://api.github.com/user...
爬虫学习第三天之身份认证、超时设置与代理设置
qq_52753078的博客
11-14 1300
今天学习比较仓促,已经是快到deadline了,所幸内容不是很难,那我就来抓住今天的尾巴来打个卡。今天学到的主要内容是SSL验证、代理设置、超时设置、与身份认证。其他几个我都可以实践并且记录,不过代理设置还需要花费来买ip,所以本篇文章我们暂时跳过这个内容,具体可以参照https://chuanchuan.blog.csdn.net/article/details/120873957 SSL验证 由于我这个小白对这个东西不清楚,所以又专门查阅了一下SSL出现的原因及其表达的意义。 requests发送htt
使用Python的requests库作接口测试——身份认证
刘春明的博客
08-31 1万+
基本身份认证 许多要求身份认证的web服务都接受HTTP Basic Auth。这是最简单的一种身份认证,并且Requests对这种认证方式的支持是直接开箱即可用。 以HTTP Basic Auth发送请求非常简单: >>> requests.get('https://api.github.com/user', auth=('user', 'pass')) 摘要式身份认证 另一种非
python requests auth参数 鉴权
JacobSun的博客
04-28 5459
实例 import requests url = 'http://192.168.1.1' headers = {} # 有的不带头也能请求到 不带头可以忽略这行 和headers=headers,这两处 resp = requests.get(url, auth=('admin', 'admin'), headers=headers, timeout=10) 一种简单的身份认证,它是通过h...
接口测试中的Token鉴权(Postman中Token的获取和引用)
热门推荐
weixin_44901808的博客
08-25 1万+
Token的获取和引用
python+requests——高级用法——auth认证
小白龙白龙马的博客
02-24 1701
接口测试python
09-06
你好!关于接口测试的Python库,你可以使用`requests`库来发送HTTP请求并进行接口测试。这是一个常用的库,可以方便地发送GET、POST、PUT等请求,并获取响应结果。 首先,你需要安装`requests`库。可以使用以下命令来安装: ```shell pip install requests ``` 安装完成后,你可以通过以下方式来进行接口测试: ```python import requests # 发送GET请求 response = requests.get('http://example.com/api') print(response.status_code) # 获取响应状态码 print(response.json()) # 获取响应结果,转为JSON格式 # 发送POST请求 payload = {'key1': 'value1', 'key2': 'value2'} response = requests.post('http://example.com/api', data=payload) print(response.status_code) print(response.json()) # 发送PUT请求 payload = {'key1': 'new_value1', 'key2': 'new_value2'} response = requests.put('http://example.com/api', data=payload) print(response.status_code) print(response.json()) ``` 这只是一个简单的示例,你可以根据具体的接口需求来定制请求参数和处理响应结果。另外,`requests`库还提供了其他功能,比如设置请求头、处理身份验证、处理cookies等。 希望这可以帮助到你!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值