接口测试鉴权测试
我们做个假设,加入没有这样的鉴权机制,那么我如果知道了你的ip,以及请求URL,那么我就可以随意的访问你的资源所以才必须有了鉴权。
·
首先我们得理解下接口测试的一些流程,我们经常在测试接口的过程中常规的流程是,我们调用网站的login接口,查看login接口中返回的数据一般会登录成功之后生成一串序列码放在responseheader中的set-cookie字段
当然也有些网站在处理的过程中也会直接返回在response中。
当然无论哪一种,取决于开发实现的方式。而且,每个公司都有自己的实现模式。
那么,为什么接口必须要有鉴权呢?
我们做个假设,加入没有这样的鉴权机制,那么我如果知道了你的ip,以及请求URL,那么我就可以随意的访问你的资源
所以才必须有了鉴权。
这就好比显示中,我们如果想要进入房子之前必须有钥匙,钥匙匹配了我们才能进入这个房间。
没有鉴权,就好比,这房子只要有人知道在哪里,就可以随意的访问和进入,你愿意这么做吗?
所以,鉴权测试其实更多的是测试登录之后生成的用户的唯一性标识,使用这样的标识去请求其他业务接口能否成功和不带这标识,包括伪造标识,能否绕过鉴权机制等测试
一般浏览器的项目(PC使用浏览器打开,手机端H5打开)因为都有cookie容器,所以鉴权一般基于cookie (cookie base)
手机APP(比如很多Native开发)都是token base,会将服务器返回的校验信息缓存到设备本地存储(类cookie)
更多推荐
已为社区贡献2条内容
所有评论(0)