postman | 通过cookie访问有账号密码的URL

最新推荐文章于 2024-06-29 15:35:05 发布
原创 最新推荐文章于 2024-06-29 15:35:05 发布 · 2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#postman #cookie #账号密码

本文详细介绍了如何通过浏览器开发者工具获取已登录状态的Cookie,并利用Postman工具进行测试,展示了Cookie在Session跟踪中的作用。

1. 查询cookie

Cookie,有时也用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。cookie中存储着用户的授权信息,在cookie中有token值,先找出登入后的token值,已经登入系统的token值可以通过服务器的验证,可以访问该网页。

我们先登录一个网页才能拿到cookie,比如我这里是csdn的写文章页面,已经登录。

步骤

  • 打开开发人员工具面板:按F12,或者Fn+F12,我的笔记本是需要按Fn+F12的,如果是Microsoft edge(win10自带的浏览器),也可以打开开发人员工具

在这里插入图片描述

  • 选择网络,内容类型为文档,这个时候下面可能没有URL,刷新一下网页就有了,然后选择要测试的URL,具体如下图:
    1
  • 点击选中的URL,可以看到对应的cookie,右键,复制cookie。
    3

  1. cookie复制到postman

    步骤

  • headers上key填cookie,value就粘贴前面复制的cookie。5
  • 这里先不给cookie打钩,对比一下填没填cookie的差别,可以看到,没有填cookie,直接发送请求,它是会要求先登录的。
    8
  • 这里给cookie打钩,可以看到,不用登录,可以直接写文章了
    -
postman接口测试工具详解
数字人生
07-24 2041
Postman 是一款非常流行的API开发和测试工具,广泛用于API的构建、测试、修改和调试。综上所述,Postman凭借其强大的功能、用户友好的界面以及广泛的集成能力,成为了API开发和测试领域的重要工具。Postman是一款广泛使用的API开发工具和接口测试工具,具有强大的功能和用户友好的界面,适用于开发、测试和文档编写等多种场景。:对于POST等方法,可以设置请求体,支持form-data、x-www-form-urlencoded、raw(文本、JSON、XML等)和binary(文件上传)。
postman进行web端自动化测试
HB8888888的博客
03-17 6743
概括说一下,web接口自动化测试就是模拟人的操作来进行功能自动化,主要用来跑通业务流程。 主要有两种请求方式:post和get,get请求一般用来查看网页信息;post请求一般用来更改请求参数,查看结果是否正确变化;post请求还能用来验证字段的边界值、是否能为空和验证字段可输入的类型。 web接口测试只涉及http/https请求,需要输入的内容有:请求方法、url地址、header相关信息、body相关内容、断言,下面详细说明用postman做http请求的使用步骤。 一、抓包(使用Charl
Postman访问需要账号密码登入的页面_Allione_新浪博客
dsydly的博客
07-16 2993
1、cookie中存储着用户的授权信息,在cookie中有token值,先找出登入后的token值,已经登入系统的token值可以通过服务器的验证,可以访问网页,登入网页后打开F12,如下: 2、之后将页面Headers中的cookie值直接copy 粘贴到postman请求的Hearders中 ...
postmancookie请求post接口
hjy_mysql的博客
08-28 985
工作笔记随笔,主要记录了学习postman使用时的步骤
Postmancookie的操作
weixin_41812355的博客
02-14 8903
还是以查询购物车内容为例:添加cookie时只修改目标中的部分,其他默认即可;cookie模板内容说明:# Cookie的内容Path=/;# 表示哪些路径下的文件有权限读取该 cookie# 网站域名# 过期时间说明:因为访问网站时候会保存到客户端很多的Cookie信息,在访问其他接口的时候,只带相关的Cookie就可以,不用带所有的Cookie访问。例如关于登陆授权的Cookie信息就是PHPSESSID,我们只保存这一条Cookie即可。
访问带有用户名、密码保护的 URL
热门推荐
u010439291的专栏
06-02 2万+
一、URL,统一资源定位器。指向互联网上的“资源”,可协议名、主机、端口和资源组成 如: http://username:password@host:8080/directory/file?query#ref: Component Example value Also known as Protocol http scheme
postman处理加密登录接口
m0_51619381的博客
08-02 1658
在使用postman测试公司系统登录接口时,直接在请求体中输入密码调接口发现密码不正确,咨询了开发登录接口使用了MD5的加密方法,现将使用过程记录如下。
postman 密码rsa加密登录-2加密密码
qq_34020468的博客
10-11 919
rsa加密 postman 登录接口 账号加密
postman登录鉴权之接口测试!
m0_58026506的博客
06-29 1071
​ 在做接口测试的时候,有些接口向后台请求数据的时候,是需要用户在登录情况下才有数据返回。 以电商平台为例,用户的个人中心,用户的订单列表,用户的支付信息等等,所有用户维度的数据都是需要登录态。 本文主要是探索接口测试过程中需要登录鉴权的情况。 ​
Postman 接口测试
03-26
4. **授权和Cookie管理**:Postman支持各种授权方式,例如OAuth1.0、OAuth2.0等,并提供Cookie管理器来创建、管理和删除Cookies。 5. **代理和拦截器**:用户可以通过配置代理,拦截和检查通过Postman发送的HTTP...
python3爬取带密码的网站_Python3爬虫之urllib携带cookie爬取网页的方法
weixin_39886172的博客
12-07 400
如下所示:import urllib.requestimport urllib.parseurl = 'https://weibo.cn/5273088553/info'#正常的方式进行访问# headers = {# 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko...
python爬取加密网页_Python3爬虫之urllib携带cookie爬取网页的方法
weixin_39524048的博客
12-05 712
import urllib.requestimport urllib.parseurl = 'https://weibo.cn/5273088553/info'#正常的方式进行访问# headers = {# 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chr...
postman对接口进行加密解密——实战案例
weixin_46913665的博客
01-27 4974
crypto-js 是一个 JavaScript 加密算法库,提供了多种常见的加密算法,包括对称加密(如 AES、DES)、哈希函数(如 MD5、SHA)和消息认证码(如 HMAC)等。使用 crypto-js 可以在前端和后端环境中进行数据的加密和解密操作。它支持多种编码格式,包括 UTF-8、Base64 等。提供了简单易用的接口:crypto-js 提供了一套简单易用的 API,使得在 JavaScript 中使用各种加密算法变得简单和方便。
Postman测试 - SpringSecurity用户名和密码认证访问后台请求
你今天真好看呀
08-11 5275
Postman测试SpringSecurity用户名和密码认证访问后台请求。
使用postman访问密码的elastic
lxw1844912514的博客
04-10 3145
一、es集群开启密码验证elastic search简称为es,为一个分布式的搜索引擎,默认的es部署是没有密码验证的,很容易会出现安全问题。1.使用ES自带的XPACK开启密码校验在es7.0版本以后(之前的版本没怎么用过,不太清楚)安装包默认自带了xpack功能,所以只需要在es包下的config目录修改一下es的默认配置文件elasticsearch.yml即可,在elasticsearch...
PostmanPostman 详解-开始使用Postman2
weixin_43298211的博客
06-18 3019
主页构建器(或称为“Composer”):创建和编辑请求的地方。(集合):管理您的API请求集合。History(历史):显示您最近发送的所有请求记录。Runner(集合运行器):执行集合中的请求以进行自动化测试。Monitors(监控):管理API监控任务,定期检查API状态。Workspaces(工作区):组织和协作的环境,支持个人、团队和公共空间。
使用Requests携带cookies访问网页
汤小萌的博客
08-25 5985
import requests headers = { "User-Agent":"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36" } # 请求数据的url memurl = 'https://www.yaozh...
PostmanCookie 请求post接口
my_power520的博客
01-05 9693
请求三要素:1.写对请求路径和请求方式 2.请求头合理设置(根据你代码接口实际情况设置) 3.设置请求的Cookie(模拟登陆的一个过程) 通过F12 取Cookie 4.设置请求体 :入参 5.点击蓝色按钮send请求 ...
使用selenium驱动浏览器时携带cookie实现模拟登陆
ashengz的博客
10-17 2462
selenium可以帮助我们驱动浏览器打开网页,并进行一些特定的操作。但是现在越来越多的网站,也会识别selenium,并且限制了访问条件,比如:必须登录。在selenium中,get_cookies()方法可以帮助我们获取cookie。这里以知乎为例演示一下使用。这里用到的浏览器驱动对象为 undetected_chromedriver 模块生成,他的作用可以让selenium绕过检测。详情课看我另一条笔记基本操作步骤:一、
网页访问成功,postman调用报这个错
最新发布
10-12
<think>我们正在解决Postman调用授权接口返回401的问题。根据用户上下文,我们知道在网页访问是成功的,但在Postman中失败。这通常是因为网页访问时用户已经登录(有有效的会话),而Postman请求缺少必要的认证信息。 问题核心:`/oauth/authorize`端点需要用户认证(即登录状态)。在浏览器中,用户通过登录表单已经建立了会话(通常通过Cookie维护)。而Postman默认不会携带浏览器的Cookie,因此需要手动添加会话信息。 解决方案: 1. 在浏览器中成功登录,获取会话Cookie(通常是JSESSIONID)。 2. 在Postman中,将获取到的Cookie添加到请求的Headers中。 具体步骤: 步骤1:通过浏览器登录获取Cookie - 使用浏览器访问应用登录页面(例如:http://192.168.8.174:8999/login) - 输入正确的用户名和密码进行登录 - 登录成功后,打开开发者工具(F12),在Application或Storage标签页中找到Cookies,复制JSESSIONID的值。 步骤2:在Postman中配置Cookie - 打开Postman,创建新的GET请求 - 输入URL:`http://192.168.8.174:8999/oauth/authorize?response_type=code&client_id=client-id&redirect_uri=http://www.baidu.com&scope=all` - 在Headers标签页添加一个Header: Key: `Cookie` Value: `JSESSIONID=复制的值` (例如:`JSESSIONID=123456789ABCDEF`) 步骤3:发送请求 - 发送请求,此时应该会得到302重定向响应,重定向到`redirect_uri`并附带code参数(注意:在Postman中可能需要关闭自动跟随重定向,才能看到302响应和Location头) 注意:如果仍然返回401,请检查: - Cookie是否过期?重新登录获取新的Cookie - 请求参数(尤其是`client_id`和`redirect_uri`)是否与服务器注册的一致? - 服务器端是否配置了CSRF保护?如果是,可能需要禁用CSRF(对于OAuth2授权端点,通常可以禁用CSRF,因为OAuth2有自己的安全机制) 关于CSRF保护:在Spring Security中,我们可以针对特定路径禁用CSRF。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().ignoringAntMatchers("/oauth/authorize"); // 禁用授权端点的CSRF } ``` 另外,根据引用[1]的内容,系统中有管理员和普通用户的角色区分,确保你登录的用户拥有访问OAuth2授权端点的权限。 如果以上步骤还不能解决问题,可以尝试在Postman中设置用户认证信息(如Basic Auth)?但请注意,`/oauth/authorize`端点通常是用户认证(即用户登录)而不是客户端认证,客户端认证是在`/oauth/token`端点上使用的。 总结:Postman调用`/oauth/authorize`接口401错误的根本原因是缺少用户会话(Cookie)。添加正确的Cookie即可解决。 相关问题: 1. 如何在Postman中管理Cookie? 2. OAuth2授权码流程中,用户认证和客户端认证的区别是什么? 3. 如何在Spring Security中为特定端点禁用CSRF保护? 4. 如何确保不同的用户角色(如管理员和普通用户)具有正确的OAuth2授权访问权限? 参考引用[1]中关于角色权限的说明,确保测试使用的用户具有足够的权限(例如管理员角色)[^1]。 </think>### 🔍 解决 Postman 调用 OAuth2 授权接口 401 错误的完整方案 #### 一、问题本质分析 在网页访问成功但 Postman 调用失败的情况下,核心问题在于 **用户会话状态缺失**: 1. **浏览器环境**:用户登录后会产生会话 Cookie(如 `JSESSIONID`),自动携带在后续请求中 2. **Postman 环境**:默认不会携带浏览器 Cookie,导致服务器判定为"未认证用户"[^1] 3. **权限验证机制**:系统验证用户角色权限时,无会话信息将直接拒绝访问 `/oauth/authorize` 端点 #### 二、具体解决步骤 ##### 步骤1:获取有效会话 Cookie 1. 浏览器访问登录页(如 `http://192.168.8.174:8999/login`) 2. 使用管理员账号登录(管理员拥有完整权限[^1]) 3. 按 F12 打开开发者工具 → Application → Cookies ```http # 示例 Cookie 格式 JSESSIONID: A3B5F7C9-D0E2-4F6A-8B1C-3D5E7F9A1B2C ``` ##### 步骤2:Postman 配置会话 1. 新建 GET 请求: ``` http://192.168.8.174:8999/oauth/authorize?response_type=code&client_id=client-id&redirect_uri=http://www.baidu.com&scope=all ``` 2. 在 Headers 添加: ```bash Cookie: JSESSIONID=A3B5F7C9-D0E2-4F6A-8B1C-3D5E7F9A1B2C # 替换为实际值 ``` 3. 关闭重定向跟踪(避免 code 被消耗): ```mermaid graph LR 设置 --> Settings --> 取消勾选'Automatically follow redirects' ``` ##### 步骤3:验证角色权限(关键步骤) 1. **确保登录账号是管理员角色**(普通用户可能仅有查询权限[^1]) 2. 在 Postman 预执行脚本添加权限验证: ```javascript // 测试脚本:验证用户角色 pm.sendRequest({ url: "http://192.168.8.174:8999/user/me", method: "GET", headers: { Cookie: pm.request.headers.get("Cookie") } }, (err, res) => { if (err) console.error("会话无效"); else if (!res.json().roles.includes("ADMIN")) console.warn("当前用户权限不足"); }); ``` #### 三、进阶排查方案 当基础方案无效时,检查以下配置: | 排查点 | 检测方法 | 解决方案 | |--------------------------|-----------------------------------|----------------------------------------| | CSRF 保护 | 查看控制台是否出现 `_csrf` 错误 | 在 Spring Security 配置中禁用 CSRF | | Cookie 作用域 | 检查浏览器 Cookie 的 Domain 属性 | 确保 Domain 包含 `192.168.8.174` | | 权限配置 | 查看用户角色分配记录[^1] | 确认管理员角色拥有 `/oauth/**` 访问| | HTTPS 安全传输 | 检查是否强制 HTTPS | Postman 关闭 SSL 验证或在本地配置证书 | **Spring Security 配置示例**: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() // 关键:禁用CSRF .authorizeRequests() .antMatchers("/oauth/authorize").hasRole("ADMIN") // 管理员权限控制[^1] // 其他配置... } } ``` #### 四、全流程测试验证 ```mermaid sequenceDiagram participant Postman participant Server participant Browser Postman->>Browser: 手动登录获取Cookie Browser->>Server: 用户认证 Server-->>Browser: Set-Cookie: JSESSIONID Postman->>Server: 携带Cookie请求/oauth/authorize Server->>Server: 验证会话+角色权限[^1] alt 管理员角色 Server-->>Postman: 302 Redirect with code else 普通用户 Server-->>Postman: 401 Unauthorized end ``` #### 五、常见错误解决方案 1. **持续返回 401**: - 清除浏览器所有 Cookie 后重新登录 - 在 Postman 中点击 `Cookies` 链接管理本地 Cookie 2. **redirect_uri 不匹配**: ```java // 确保服务端配置包含精确URL .redirectUris("http://www.baidu.com") ``` 3. **权限验证失败**: - 检查用户是否被正确分配管理员角色[^1] - 验证权限表达式:`hasRole('ADMIN')` 而非 `hasAuthority('ADMIN')` --- ### ❓ 相关问题 1. 如何在分布式系统中同步会话状态以实现多节点认证? 2. 当使用 JWT 替代会话 Cookie 时,OAuth2 授权流程需要哪些调整? 3. 如何在不暴露管理员凭证的情况下自动化测试 OAuth2 授权接口? 4. 对于普通用户角色,如何安全地实现 OAuth2 授权码流程? 5. 在微服务架构下,如何集中管理 OAuth2 客户端的 redirect_uri 配置?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值