接口测试中token和session有什么区别呢?

最新推荐文章于 2024-08-13 15:06:21 发布
最新推荐文章于 2024-08-13 15:06:21 发布
阅读量359 收藏 1
点赞数
文章标签: 测试类型 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44635741/article/details/120521105
版权
本文探讨了session的三个主要弊端:资源占用大、安全性低和拓展性差,并介绍了token如何解决这些问题,强调了token在资源占用、拓展性和安全性上的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

session是有些弊端的。

1.session用的是cookie,占用的是服务器的内存资源,资源占用率比较大,随着用户量的增加,服务器的压力会比较大;2.session的安全性比较低,session是基于cookie进行用户识别的,当cookie被截获时,就非常容易受到跨站请求伪造的攻击;3.可拓展性不强,随着用户量的增加,如果使用的是多服务器的负载均衡方案,session的数据是保存在单节点中的,比如第一次请求的是服务器1,当第二次请求的服务器2时,服务器2就获取不到这个session信息了,就会判定用户没有登陆过,而如果我们采用token的认证机制,由于服务器端不保存session信息了,它只会生成token,验证token,我们用服务器cpu的计算时间去换取内存的存储空间,而且即使是使用多台服务器集群,只要每台服务器的处理逻辑算法是一样的,就意味着基于token认证的应用,不需要去考虑用户在哪一台服务器登陆过,这就为应用的拓展提供了便利性,解决了session拓展性差的弊端,综上所述呢,token相比session有三个优点:

1.服务器资源占用率低

2.拓展性强

3.安全性高

史上最详细解释接口自动化测试中cookie、sessiontoken区别
谨言的博客
01-15 1890
如果要测试含有token鉴权的接口的流程: - 1. 通常情况下,先访问登陆接口 - 2.通过登录接口 得到用户信息,token, session, - 3. 拿着表明自己身份的信息,再去访问其他接口。 含有token的接口,每个接口都要传token的,否则接口测不通的,拿不到数据 用户校验不通过token也是可以的,可以用session 只要用session存储用户,响应头返回的永远是set-cookie cookie是域名、IP绑定在一起的 token vs sessio..
TokenSession有什么区别,面试官满意的答案
分享软件测试技术和学习方法
08-11 722
在接口的响应结果中,经常会出现类似这样的返回值。{}往往需要在访问下一个接口时传递 token 数据。所以 token 本质上就是用户信息通过编码转化成另一种形态得到 token, 再通过 token 解码得到用户数据。......
接口测试六 CookieSession
雪国的花儿’s Blog
10-30 1622
Cookie   cookie是访问网站时,由网站服务器返回的一种标记为cookie 类型数据,存储在浏览器的上,以后每次访问本完整,浏览器都会在http请求中将该数据发送过来   Cookie作用    目前Cookie最广泛的是记录用户登录信息,这样下次访问时可以不输入自己的用户名、密码了    当然了这种方便也存在用户信息泄密的问题,尤其在多个用户公用一台电脑时很容易出现这样的问题...
登录使用Token与cookie/session相比的优劣
lyy18719172450的博客
07-16 926
优势 支持跨域访问: Cookie是不允许垮域访问的,token支持 无状态: token无状态,session有状态的 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可. 更适用于移动应用: Cookie不支持手机端访问的 性能: 在网络传输的过程中,性能更好 基于标准化: 你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在 多个后端库(.NET, Ruby, Java,Py
接口自动化处理 cookies,token,session
Sophia_Xu01的博客
10-19 493
cookies session 因为http 是无链接,而cookies 可以用来保存登陆的状态,在web 端的浏览器中,但是不安全,为了安全,就把一些敏感信息保存在session中,而session是保存在服务器端,session 里面记录了客户的账号密码。 代码实现拿到cookie session #-------------cookies方式登录---------------- import requests import json HOST = *******' #登录操作 def login
Token&Session简介
Vicente的博客
07-17 1461
Token & Session 一、我们先解释一下他的含义: Token 的引入:Token 是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名密码并进行对比,判断用户名密码正确与否,并作出相应提示,在这样的背景下,Token 便应运而生。 Token 的定义:Token 是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个 Token 便将此Token返回给客户端,以后客户端只需带上这个 Token 前来请求数据即可,无需再次带上用户名密码。
接口测试入门系列3—cookiesession
diyuzhiwaicc的博客
02-09 275
  会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 Cookie机制:   在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。   而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器
接口测试经典面试题:Session、cookie、token有什么区别?_面试题cookie、session
2401_84141219的博客
05-11 842
与 get、post 区别实战详解 章节相同,为了避免其他因素的干扰,使用 Flask 编写一个简单的 demo server(Flask 的安装与启动参考 get、post 区别实战详解 章节),来演示 cookie 与 session。当用户访问带 cookie 浏览器时,这个服务器就为这个用户产生了唯一的 cookie,并以此作为索引在服务器的后端数据库产生一个项目,接着就给客户端的响应报文中添加一个叫做 Set-cookie 的首部行,格式为 k:v。demo server 演示代码。
Java跨session实现token接口测试过程图解
08-19
Java跨session实现token接口测试过程图解是指在Java中实现token接口测试的过程图解,这个过程图解主要介绍了如何使用Java来实现跨sessiontoken接口测试。下面是相关知识点的详细说明: 一、Java Session机制 在...
软件测试必会:cookie、sessiontoken区别~
08-13 823
今天就来说说session、cookie、token这三者之间的关系!最近这仨玩意搞得头有点大🤣 01、为什么会有它们三个、我们都知道 HTTP 协议是无状态的,所谓的无状态就是客户端每次想要与服务端通信,都必须重新与服务端链接,意味着请求一次客户端服务端就连接一次,下一次请求与上一次请求是没有关系的。
接口测试(二)cookie、缓存、sessiontoken
daisyxyr的博客
05-28 1164
cookie cookie的概念 Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。 Cookie存储的数据量有限,且都是保存在客户端浏览器中。 不同的浏览器有不同的存储大小,但一般不超过4KB。(使用Cookie实际上只能存储一小段的文本信息) cookie的产生 当用户第一次访问并登录一个网站的时候,cookie的设置以及发送会经历以下4个步骤: 客户端发送一个请求到服务器; 服务器发送一个HttpResponse响应到客户端,其中包含Set-Cook
进阶高级之路,接口自动化测试-Cookie与Sessinon实战(详全)
Ces222的博客
06-28 499
HTTP协议是一个无状态的应用层协议,也就是说前后两次请求是没有任何关系的。如果我们测试的接口之前有相互依赖关系怎么办呢?(比如我要写东西,是需要先登录的),这时我们就要用到cookiesession技术来保持客户端与服务器端连接的状态Cookie1、获取cookie# -*- coding:utf-8 -*- #获取cookie import requests import json。
Session接口
biejiyb的博客
06-06 1384
核心接口:SessionSessionFactory、Transaction、Query、Criteria、Configuration。Configuration:负责配置并启动Hibernate,创建SessionFactory对象。SessionFactory:保存了对应当前数据库配置的所以映射关系。Session:负责执行被持久化对象的CRUD操作。Transaction:负责事务相关的操...
利用缓存实现APP端与服务器接口交互的Session控制
dingsutan9712的博客
11-30 199
与传统B/S模式的Web系统不同,移动端APP与服务器之间的接口交互一般是C/S模式,这种情况下如果涉及到用户登录的话,就不能像Web系统那样依赖于Web容器来管理Session了,因为APP每发一次请求都会在服务器端创建一个新的Session。而有些涉及到用户隐私或者资金交易的接口又必须确认当前用户登录的合法性,如果没有登录或者登录已过期则不能进行此类操作。我见过一种“偷懒”的方式,就...
tokensession区别
乔的博客
04-16 560
一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从数据库获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户...
接口测试经典面试题:Session、cookie、token有什么区别
霍格沃兹测试学院的博客
08-04 198
HTTP是一个没有状态的协议,这种特点带来的好处就是效率较高,但是缺点也非常明显,这个协议本身是不支持网站的关联的,比如https://ceshiren.com/https://ceshiren.com/t/topic/9737/7这两个网站,必须要使用别的方法将它们两个关联起来。那就是session 、cookie 、tokensession 即会话,是一种持久网络协议,起到了在用户端服务器端创建关联,从而交换数据包的作用。......
13.HttpSession接口
weixin_45974277的博客
10-06 616
HttpSession接口: 1.介绍: 1)HttpSession接口来自于Servlet规范下一个接口。存在于Tomcat中servlet-api.jar 其实现类由Http服务器提供。Tomcat提供实现类存在于servlet-api.jar 2)如果两个Servlet来自于同一个网站,并且为同一个浏览器/用户提供服务,此时 借...
接口自动化入门:登录流程中的cookie,Session, Token鉴权实践
m0_58026506的博客
07-04 381
http协议:简单、快捷、无连接、无状态。多次请求之间是没有关联的,独立的。 一、cookie鉴权 1、什么是cookie? cookie是在服务器产生的存储在客户端的一小段文本信息,格式是字典,键值对。 2、cookie的分类 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除
接口请求头部有token
最新发布
03-15
### 如何在 API 请求中设置包含 Token 的头部信息 在现代 Web 开发中,为了保护 API 接口的安全性验证客户端的身份,通常会在 HTTP 请求头中加入 Token 进行身份认证。以下是几种常见的实现方式及其具体代码示例。 #### Java Spring Boot 中通过 GET 方法返回 Token 并用于后续请求 在一个基于 Spring Boot 的项目中,可以通过定义一个 RESTful 风格的接口来提供 Token 获取功能。当客户端调用该接口时,服务器会生成并返回一个 Token 给客户端[^1]。 ```java @GetMapping("/get/token") @Operation(summary = "获取token", description = "获取token") public Response getToken(String account) { return SingleResponse.of(TokenUtils.generateToken(account)); } ``` 客户端可以保存这个 Token,并将其作为 `Authorization` 或自定义字段(如 `token-id`)放入请求头中传递给服务端。 --- #### iOS 使用 AFNetworking 设置请求头中的 Token 对于移动端开发,在 iOS 上使用 AFNetworking 库发送网络请求时,可以在每次请求前动态设置请求头中的 Token 值[^2]。例如: ```objc NSString *TOKEN = @"your_generated_token_here"; [manager.requestSerializer setValue:TOKEN forHTTPHeaderField:@"token-id"]; ``` 上述代码片段展示了如何将生成好的 Token 添加到名为 `token-id` 的请求头字段中。这样做的好处是可以确保每一次请求都携带有效的认证信息。 --- #### Postman Apipost 工具配置动态 Token 变量 如果开发者希望利用工具简化测试流程,则可以选择像 **Postman** 或者 **Apipost** 来管理复杂的 API 测试场景。这两种工具有助于快速模拟真实环境下的交互过程。 ##### 在 Postman 中创建全局变量存储 Token 一种常见做法是在第一次登录成功后提取响应数据里的 Token 字段存入全局变量 `devToken` 中[^5]。之后所有的其他请求都可以直接引用此变量完成自动填充工作: ```javascript pm.environment.set("devToken", pm.response.json().token); ``` 随后修改目标 URL 下方 Headers Tab 页面新增键值对 `"Authorization"` -> `"Bearer {{devToken}}"` 即可生效。 ##### ApiPost 脚本自动化注入 Header 参数 另一种更灵活的方式则是借助 Pre-request Script 功能编写一段 JavaScript 实现逻辑控制[^4]。比如下面的例子演示了怎样解析 JSON 结果集取出对应的 token 属性再更新至当前 session headers 列表里去: ```javascript let jsonData = {"msg":"操作成功","code":200,"token":"eyJhbGciOixMiJ9.·123-NQQPPKGr4Yxa1_H_JIrUXJQ"}; $api.setHeader('Authorization', 'Bearer '+jsonData.token); ``` 以上两部分分别介绍了手动维护以及程序化驱动两种不同风格的操作指南供参考选用。 --- ### 总结 无论采用哪种技术栈或者框架设计模式,核心思路都是围绕着安全传输原则展开讨论——即始终保证敏感数据只存在于必要的通信链路之间而不暴露多余风险点上;同时也要注意定期轮换密钥防止长期固定带来的潜在威胁隐患。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值