接口测试中的Token鉴权(Postman中Token的获取和引用)

最新推荐文章于 2025-09-22 21:46:39 发布
原创 最新推荐文章于 2025-09-22 21:46:39 发布 · 2.8k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#postman #测试工具 #压力测试 #功能测试 #职场和发展

Token鉴权是验证用户访问权限的一种方式,常用于Web身份验证。在接口测试中,当遇到Token鉴权,可以通过Postman这样的工具进行处理。首先,从登录接口获取Token并将其设置为环境变量。接着,在需要鉴权的接口请求Header中引用这个环境变量作为Authorization。如果不引用Token,请求可能会失败。这样确保了每次请求都能携带正确的鉴权信息。

什么是Token鉴权?

鉴权是指验证用户是否有权访问系统的行为。

Token 鉴权是其中一种鉴权方式,其他的鉴权方式还有HTTP Basic Authentication、session+cookie、OAuth

Token是一个令牌,通俗地说就是“暗号”,他是服务端生成的一串字符串。

在进行一些数据传递之前,要核对暗号。在web领域,基于Token的身份验证非常常见,如很多操作是在登录之后进行的,用户第一次登录成功后会返回一个Token,后续的操作带上这个token来请求数据即可,不用再带上用户名和密码。如果没有带Token,说明用户没有登录成功,无法进行后续操作。

那么接口测试过程中,遇到Token鉴权问题,怎么进行测试呢?

以我常用的接口测试工具Postman为例,介绍一下Token引用方法。
 

Token的引用

一般情况下,每次登录返回的token值都是变化的,这种情况下,可以将读取到的Token值设为环境变量/全局变量,token变化,环境变量读取的值也会变化。

步骤一:从登录接口获取Token

登录接口响应成功后,可以看到返回一串Token字符串

 步骤二:将获取到的token设置为环境变量

 步骤三:点击【send】之后,在右上角眼睛图标这里就可以看到这个变量及变量值了

 

步骤四:在请求Header中引用Token

在需要引用token的接口的请求Header中添加KEY:Authorization,值为你设置的环境变量{{token}}

 

然后点击【send】,验证结果。

备注:如果不引用token,发送之后可能是下面这个返回结果:

 最后:下方这份完整的【软件测试】视频学习教程已经整理上传完成,朋友们如果需要可以自行免费领取 【保证100%免费】

 

 

使用Postman调测“获取IAM用户Token”接口实际操作
hy行者勇哥的博客
04-21 991
Postman是网页调试与辅助接口调用的工具,具有界面简洁清晰、操作方便快捷的特性,可以处理用户发送的HTTP请求,例如:GET,PUT、POST,DELETE等,支持用户修改HTTP请求中的参数并返回响应数据。 为充分了解接口,建议提前获取应用侧API参考查阅。我们已经写好了Postman的collection,在Collection中接口的请求结构体已经完成可以直接使用。 本文档以Postman为例,模拟应用服务器以HTTPS协议接入物联网平台,获取IAMtoken的实际操作方法
接口测试】【postmanpostman通过脚本获取Token并自动加入请求头实现Token的参数化
喝酸奶舔盖斯基的专栏
03-17 1万+
通过URL获取token值 过期的URL无法get数据 通过[Pre-request Script]脚本自动获取token 注意:请求头去勾选token [Pre-request Script]脚本实现token参数化代码框架 pm.sendRequest({ url: "https://{your url to get token}", method: 'POST', header: { 'Accept': 'application/json', 'Content...
接口测试实战()接口测试token实战
黑黑白白君的博客
06-05 4459
部分前情: 《【接口测试实战()接口测试简介》 《【接口测试实战()】搭建接口测试环境》 《【接口测试实战()】根据接口文档使用postman测试》 《【接口测试实战()接口测试之断言实战》 《【接口测试实战()postman之变量与沙盒实战》 《【接口测试实战()postman之Collections数据驱动测试实战》 《【接口测试实战()接口测试之cookie实战》 文章目录1)2)token实战:接口测试1、用接口获取token值,并将其存储到环境变量2、其他接
Python接口自动化测试之Token详解及应用
最新发布
2301_77645573的博客
09-22 744
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,
软件测试 接口测试 接口 token Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 3426
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口的限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
接口自动化测试之获取token
08-07
代码简单明了,可以复制粘贴、很实用,包含了两种获取方式
Postman获取token
yunfeather的博客
01-02 3430
Postman 中,可以通过使用 Pre-request Script 功能来获取 token 并在后续的请求中使用。发送一个 POST 请求并指定了请求头请求体。希望这个回答对你有所帮助。如果您还有其他问题,请继续提问!就是在上一步中设置的环境变量。被存储在环境变量中。
使用Postman搞定各种接口token实战
09-05 767
现在许多项目都使用jwt来实现用户登录数据限,校验过用户的用户名密码后,会向用户响应一段经过加密的token,在这段token中可能储存了数据限等,在后期的访问中,需要携带这段token,后台解析这段token才允许用户访问接口。
一个接口没有token,如何保持登录状态进行自动化测试?
weixin_67553250的博客
05-26 1378
2023最新自动化测试自学教程新手小白26天入门最详细教程,目前已有300多人通过学习这套教程入职大厂!!_哔哩哔哩_bilibili2023最新合集Python自动化测试开发框架【全栈/实战/教程】合集精华,学完年薪40W+_哔哩哔哩_bilibili​​​​​​也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望志同道合的测试人员一起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划总结,
python接口测试_Python接口测试token&session处理()
weixin_39641103的博客
11-14 315
在做接口的自动化测试中,无法绕过cookie,某些时候我们需要处理,那么怎么处理?另外一个方面,什么是cookie?cookie它的工作机制是用户识别以及状态管理,网站为了管理用户的状态会通过web的浏览器,把一些数据临时写入用户的计算机内,用户再次访问web站点的时候,可通过通信方式取回之前存放的cookie,调用cookie时,检验cookie的时效。session是存储在服务器端的,使用se...
【jmeter】-脚本-添加接口并自动获取token
weixin_55282974的博客
05-25 3804
本文介绍了使用JMeter添加接口自动获取token的方法。在添加接口部分,需通过F12找到目标接口,获取请求URL、方法、头数据等信息并配置到JMeter。在自动获取token部分,提供了两种实现方案:单线程中通过正则提取token作为局部变量,以及多线程中通过后置处理器将token设为全局变量。特别说明多线程方案需注意同步问题,建议使用定时器或将获取token放在setup线程组中。文章详细说明了各步骤的具体配置方法,包括正则表达式写法、变量引用方式等。
这绝对是csdn讲的最全面最详细的postman接口测试的cookie,token,session....
m0_60054525的博客
04-24 2123
Basic Auth是一种简单的HTTP身份认证方法,在Postman中使用Basic Auth,需要在请求头中添加Authorization信息,并将用户名密码进行Base64编码。在实际应用中,可以根据具体的情况进行修改扩展,以满足不同的测试需求。以上是Digest Auth的基本步骤,在实际应用中,可以根据具体的情况进行修改扩展,以满足不同的测试需求。以上是OAuth 2.0的基本步骤,在实际应用中,可以根据具体的情况进行修改扩展,以满足不同的测试需求。
Python接口自动化之Token详解及应用
weixin_42485712的博客
04-17 4049
——————·今天距2021年258天·——————这是ITester软件测试小栈第113次推文在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、sess...
Postman处理Token
weixin_43414019的博客
12-24 2400
获取 Token 后,手动将其添加到请求的 Authorization 头中。使用自动获取 Token,并通过环境变量将其注入请求。
postman 使用之获取token
热门推荐
诗诗的远方
04-27 3万+
Postman之获得登录的token,并设置为全局变量 1.调通登录接口 网址:Postman之简单使用 2.粘贴以下代码到Tests中 //把json字符串转化为对象 var data=JSON.parse(responseBody); //获取data对象的utoken值。 var token=data.utoken; //设置成全局变量 pm.globals.set("token", token); 如图: 3.点击【Send】运行,并查看环境变量,确认是否设置成功 ..
Postman 自动获取token 保姆级教程
qq_40003231的博客
09-06 1万+
我们需要postman做的就是这一步 当token失效的时候 自动帮我们调用登录接口 然后把返回的token插入到{当前接口/部分接口/所有接口}2 如果token失效 需要先调用login接口 然后把token复制到功能接口中才能正常访问 --解决这个痛点。如果在项目A里面设置 则所有folder下的所有请求都会运行这个前置脚本 看你们需要安排设置在哪里。假设我们模块A下的所有请求都需要token 则在模块A里面设置。然后再点击发送请求的时候 就使用了新的token访问**可以随时查看环境变量。
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 1129
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
python接口自动化(二十)--token登录(详解)
weixin_30432179的博客
04-22 2690
简介   为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。有些登录不是用 cookie 来验证的,是用 token 参数来判断是否登录。token 传参有两种一种是放在请求头里,本质上是跟 cookie 是一样的,只 是换个单词而已;另外一种是在 url 请求参数里,这种更直观。 登录返回token 1、如下图的这个登录接口,就是没有 cookies的登...
接口测试中如何模拟token失效的情况?
07-09
### 模拟token失效的接口测试方法 在接口测试中,模拟token失效是验证系统在异常状态下的行为是否符合预期的重要手段。可以通过以下方式实现: 1. **使用错误或过期的token** 在请求头中手动设置一个错误、无效或已过期的token值,模拟用户凭证不合法的场景。例如: ```python import requests def test_invalid_token(): url = "https://api.example.com/protected-endpoint" headers = { "Authorization": "Bearer invalid_or_expired_token_here" } response = requests.get(url, headers=headers) assert response.status_code == 401 assert response.json()["error"] == "Unauthorized" # 假设返回指定错误信息 ``` 这种方式可以验证系统是否能正确识别并处理非法token的情况[^1]。 2. **绕过token生成机制直接构造请求** 如果token是由服务器动态生成(如通过登录接口),可以在测试时跳过正常的登录流程,直接使用伪造或篡改的token进行调用,以模拟失败的情形。例如,在登录接口未调用的情况下直接访问受保护接口,此时应返回token缺失的错误码。 3. **利用工具设置断言验证错误码响应内容** 在自动化测试工具中(如Postman或JMeter),可通过添加断言来校验接口在token异常时返回的状态码及响应体是否符合预期。例如在Postman中添加响应断言,检查是否返回`401 Unauthorized`及对应的错误描述字段[^2]。 4. **结合接口文档中的安全要求进行边界测试** 针对token的有效期、签名算法、加密方式等安全策略,设计相应的测试用例。例如,故意发送一个时间戳超出容忍范围的JWT token,或使用错误签名算法生成的token,验证服务端是否能够正确拒绝此类请求。 5. **测试token为空的情况** 直接省略请求头中的`Authorization`字段,模拟用户未携带token访问受限资源的场景。此时应返回明确的失败提示。 ```python def test_missing_token(): url = "https://api.example.com/protected-endpoint" response = requests.get(url) assert response.status_code == 401 assert response.json()["error"] == "Token not provided" ``` 6. **模拟token格式错误** 发送格式不正确的token,如缺少前缀、包含非法字符或结构损坏的JWT字符串,确保服务端能正确识别并返回相应错误码。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值