接口自动化-Cookie、Session、Token鉴定解决方案

已于 2022-04-21 15:40:04 修改
阅读量3.1k 收藏 5
点赞数 1
分类专栏: 接口自动化 文章标签: 测试工具
于 2022-04-14 10:09:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012303775/article/details/124165216
版权
本文详细介绍了Cookie、Session和Token三种鉴权方式的工作原理及其优缺点。Cookie存储在客户端,易暴露敏感信息;Session存储在服务器,安全性较高但可能导致服务器资源消耗过大;Token提供了一种更安全且节省服务器资源的解决方案,适用于高安全需求的项目。同时,文中还提及了接口签名Sign在提高安全性方面的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Cookie鉴权
http协议:无连接、无状态,请求无关联、独立
京东:登录、搜商品、下单、支付、评论

什么是Cookie?
cookie是在服务器产生的存储在客户端的一小段文本信息,格式是字典,键值对。

Cookie的分类
会话级:保存内存,当浏览器关闭就会丢失。
持久化:保存硬盘,只有当失效时间到了才会被清除。

如何查看Cookie
name、value、domain、path、expries.size

Cookie如何实现鉴权(原理)
当客户端第一次访问服务器时,那么服务器就会产生Cookie,然后通过响应头的方式在Set-Cookie传输到客户端,客户端从第2-N请求都会自动带上Cookie

致命弱点:cookie保存在客户端,对于敏感信息用户名、密码、身份证安全

"""
@Project: pytestDemo-master
@Description:Cookie鉴权
@Time: 2022/4/13 15:45
@Author:MING
"""
import re
import unittest
import requests

class Cookie_Login(unittest.TestCase):

    csrf_token = ""
    csrf_cookie = ""

    # 第一次访问网站
    def test_01_index(self):
        url = 'http://47.107.116.139/phpwind'
        res = requests.get(url=url)
        # 通过正则表达式获取到csrf_token的值
        value = re.search('name="csrf_token" value="(.+?)"', res.text)
        Cookie_Login.csrf_token = value.group(1)  # 获取csrf_token值
        Cookie_Login.csrf_cookie = res.cookies  # 获取cookie
        print(value)

    # 登录
    def test_02_login(self):
        url = "http://47.107.116.139/phpwind/index.php?m=u&c=login&a=dorun"
        data = {
   
            "username":"123456",
            "password": "123456",
            "csrf_token"
最低0.47元/天 解锁文章
接口拨测 携带cookie 完成sso认证
guyue_meng的博客
04-11 519
接口拨测是完全模拟用户行为的测试行为,通过特定组合的请求调用,对返回状态、结果等分析,及时预警,辅助快速定位解决生产问题。 我遇到的是针对一套已集成公司单点登录的web系统,我需要在自己的拨测服务内完成登录、存储cookie、调用拨测接口解析。具体代码如下: import com.alibaba.fastjson.JSONObject; import org.apache.commons.lang3.StringUtils; import org.apache.http.*; import org
接口自动化cookie
z12347891的博客
03-16 326
接口自动化cookie登录
python接口自动化测试(四)-Cookie&Sessinon
weixin_34270865的博客
09-08 287
  掌握了前面几节的的内容,就可以做一些简单的http协议接口的请求发送了,但是这些还不够。HTTP协议是一个无状态的应用层协议,也就是说前后两次请求是没有任何关系的,那如果我们测试的接口之前有相互依赖关系怎么办呢(比如我要在博客园发文章,是需要先登录的),这时我们就要用到cookiesession技术来保持客户端与服务器端连接的状态,这也就是本节要介绍的内容:   一、Cookie: 1...
接口自动化入门:登录流程中的cookieSession, Token实践
m0_58026506的博客
07-04 380
http协议:简单、快捷、无连接、无状态。多次请求之间是没有关联的,独立的。 一、cookie 1、什么是cookiecookie是在服务器产生的存储在客户端的一小段文本信息,格式是字典,键值对。 2、cookie的分类 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除
Python接口自动化cookiesession应用详解
软件自动化测试技术交流、资源分享
03-20 1110
cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。
关于学习Token、JWT、Cookie等验证授方式的总结
最新发布
qq_63218110的博客
06-13 1720
本文主要介绍Cookie、JWT、ThreadLocal等知识点。
数据安全建设中最难的是接口梳理,保护好接口就是保护好个人信息
maoguan121的博客
07-15 760
开放平台接口场景中,接口提供方应为接口调用方分配唯一的开发者标识和密钥,用于接口加密,确保不易被穷举,生成算法不易被猜测。 接口调用方的请求参数中不能明文提交开发者标识,需要对该开发者标识进行防篡改和防重放攻击设计,如将开发者标识拼接到请求的参数中进行算法排序,并且添加随机字符串,进行加密处理,如 MD5 等;将生成的字符串,加入必要的唯一标识(如时间戳和随机字符串组合)作为最终 sign 值访问应用接口,同时接口服务端在指定的时间内记录该随机字符串,防止二次使用。 ...
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 732
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
Spring Security OAuth2.0认证授 --- 基础篇
shuai_h的博客
06-19 1331
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
接口自动化测试如何获取cookie/session实现接口
ftploveing1234的博客
03-03 2245
接口自动化测试中如何获取cookie实现接口 1.登录接口请求成功后,使用cookie获取所有的cookie,并将cookie保存到对应的变量中,将获取的cookie变量放到下个接口的请求中,可以解决无法获取到cookie的这种方式,具体实现代码如下: import requests res=requests.post(url="http://xxxxx",json=data) cookie=res.cookies #下个接口 res=requests.post(url="http://xxxxx",j
pytest-cookies:Cookiecutter模板的pytest插件。 :cookie:
05-15
pytest-cookies 是Python的成熟测试框架,由蓬勃发展且不断壮大的志愿者社区开发。 它使用简单的断言语句和常规的Python比较。 pytest测试框架的核心是强大的基于钩子的插件系统。 pytest-cookies是pytest插件,带有cookies固定装置,该固定装置是 API的包装器,用于生成项目。 它可以帮助您验证模板是否按预期工作,并在运行测试后进行清理。 :cookie: 安装 pytest-cookies可以通过从下载: pip install pytest-cookies 这会自动安装和 。 用法 生成一个新项目 该cookies.bake()方法生成基于在指定的默认值模板新项目cookiecutter.json : def test_bake_project ( cookies ): result = cookies . bake ( extra
接口自动化处理 cookies,token,session
Sophia_Xu01的博客
10-19 493
cookies 和session 因为http 是无链接,而cookies 可以用来保存登陆的状态,在web 端的浏览器中,但是不安全,为了安全,就把一些敏感信息保存在session中,而session是保存在服务器端,session 里面记录了客户的账号和密码。 代码实现拿到cookiesession #-------------cookies方式登录---------------- import requests import json HOST = *******' #登录操作 def login
接口自动化测试(九)---cookiesessiontoken讲解
qq_19982677的博客
08-05 666
两种方式: 1.直接获取cookies对象,适用于不需要自行封装的情况 response.cookies requests.post(.....cookies=cookies) 2.直接获取sessionid,然后自行封装cookies对象,适用于需要修改cookies对象的情况 sessionid = response.cookies["sessionid"] cookies={"sessionid":sessionid,"xxx":"yyy"} r...
接口自动化测试——接口的多种情况与解决方案
python全栈
03-28 1642
在基本HTTP身份验证中,请求包含格式为的标头字段Authorization: Basic。其中credentials是ID和密码的Base64编码,由单个冒号连接:。获取session的实例,需要通过session()保持会话。即为认证之后,之后所有的实例都会携带cookie。可以模仿用户在浏览器的操作。
linjiashop接口自动化(2)——登录接口tokencookies的获取
Sunshine7909的博客
02-19 334
token/cookies获取
单点登陆(Single Sign On-SSO)
buxin_2008的专栏
09-05 602
      随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系 统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系 统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,...
接口测试中的Token(Postman中Token的获取和引用)
apex_eixl的博客
03-27 2776
在进行一些数据传递之前,要核对暗号。在web领域,基于Token的身份验证非常常见,如很多操作是在登录之后进行的,用户第一次登录成功后会返回一个Token,后续的操作带上这个token来请求数据即可,不用再带上用户名和密码。一般情况下,每次登录返回的token值都是变化的,这种情况下,可以将读取到的Token值设为环境变量/全局变量,token变化,环境变量读取的值也会变化。在需要引用token接口的请求Header中添加KEY:Authorization,值为你设置的环境变量{{token}}
python-pytest接口自动化测试:cookie传递和使用
hyb648115428的博客
04-24 4106
人生本是一段戏 有欢笑也有哭泣 不知谁能 谁能躲得过去 只有默默地承受这一切 承受数不尽的春来冬去 --在雨中 1,postman参见调试信息,查看cookie 2,调试代码,使其生成有效cookie # -*- coding: utf-8 -*- # @File : get_Cookie.py # @API_name: # @Time : 2018...
python+pytest接口自动化(7)-cookie绕过登录(保持登录状态)
03-03 1032
cookie绕过登录其实是登录状态保持,而不是真的不需要登录。并非所有的网站都是使用cookie机制,除了cookie机制外,还有sessiontoken等方式进行会话保持,这在后续的文章中会进行说明。实战案例光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。电商项目实战web测试项目web+App+h5+小程序 测试项目接口自动化测试实战项目Linux实战项目面试资料。
前后端方式总结:HTTP Basic, Session-Cookie, Token, OAuth
"这篇文章除了介绍前后端常见的方式外,还涉及了HTTP Basic Authentication、session-cookietoken验证以及OAuth四种方法的原理和流程。文章旨在总结和对比不同的策略,特别是在重构项目时选择合适的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值