首先我们得理解下接口测试的一些流程，我们经常在测试接口的过程中常规的流程是，我们调用网站的login接口，查看login接口中返回的数据一般会登录成功之后生成一串序列码放在responseheader中的set-cookie字段

当然也有些网站在处理的过程中也会直接返回在response中。

当然无论哪一种，取决于开发实现的方式。而且，每个公司都有自己的实现模式。

那么，为什么接口必须要有鉴权呢？

我们做个假设，加入没有这样的鉴权机制，那么我如果知道了你的ip，以及请求URL，那么我就可以随意的访问你的资源

所以才必须有了鉴权。

这就好比显示中，我们如果想要进入房子之前必须有钥匙，钥匙匹配了我们才能进入这个房间。

没有鉴权，就好比，这房子只要有人知道在哪里，就可以随意的访问和进入，你愿意这么做吗？

所以，鉴权测试其实更多的是测试登录之后生成的用户的唯一性标识，使用这样的标识去请求其他业务接口能否成功和不带这标识，包括伪造标识，能否绕过鉴权机制等测试

一般浏览器的项目（PC使用浏览器打开，手机端H5打开）因为都有cookie容器，所以鉴权一般基于cookie （cookie base）

手机APP（比如很多Native开发）都是token base，会将服务器返回的校验信息缓存到设备本地存储（类cookie）