postman接口测试工具实战（三）

postman接口测试工具实战（三）

一、接口鉴权

1.cookie、session、token
cookie鉴权：cookies它是由服务器产生，保存在浏览器，主要是因为http协议无连接，无状态。（超市：没有会员卡，cookie：会员卡）
cookies通过键值对的方式去保存记录。原理：当用户第一次访问服务器的时候，那么服务器会产生cookie并且会在响应头的set-cookie里面发给浏览器，浏览器保存，在第2-n次请求的时候会带上cookie信息。
cookie信息一般包括name，value，domain,path，expries，size。
缓存并不等于cookie。

session鉴权：session是在服务器产生，保存在服务器的内存，它可以通过cookie来传参sessionid。
原理：当你登陆的时候，服务器会生成session，它通过cookie把sessionid传给客服端，然后在后面的所有请求里面会自动加上sessionid，然后和服务器的内存中的sessionid对比以判断是否是同一个客户端。保存在服务器的内存里面的session的失效时间为30分钟（也可以在apache-tomcat-8.5.43\conf\web.xml文件里面的session-timeout可以修改默认的失效的时间）
sessionid可以隐藏域，也可以url或者是cookie传递

token鉴权：token是服务器的产生的，保存在服务器的文件或数据库（硬盘），一般情况下接口测试通过一个专门的获取token的 接
口或者是登录接口来获取token.,获取后每次请求其他接口都必须带上token鉴权。

面试问题：cookie,session,token的相同点和不同点？
相同点：
都是在服务器产生的，都是用于鉴权。只是保存在不同的地方。
不同点：
cookie保存在客户端，所以不安全，一般情况下用cookie保存一些非重要的数据，而通过session去保存一些重要的数
据，session是保存在服务器的内存当中，而token是独立的鉴权，它和sesion和cookie无关。

二、接口Mock Sersver

mock测试就是测试过程中，对于一些不容易创建或者是不容易获取的比较复杂的对象，用一个模拟的对象去代替。
mock一把是为了解决单元之间的耦合依赖关系。（桩服务）
比如：工作中前后端分离，前端已经开发好了，但是后端的接口没有开发好。
操作步骤如下：

接口域名通常用环境变量替代


会自动创建一个请求

增加一个示例


创建成功。

三、接口的加解密

接口加密：接口测试当中把传输的数据加密成密文（0101011101100）再传输。
接口解密：获取密文后把密文还原成原始数据。
1.目前市面上的加密方式
对称式加密（私钥加密）：DES，AES，Base64
非对称式加密（双钥加密）：RSA（公钥《公开》和私钥《保密》）
只加密不解密：MD5，SHA1，SHA3…（就是这两种）
http://www.bejson.com

四、接口签名sign（接口鉴权的一种）

1.什么是接口签名？
接口签名就是使用appid,appsecret,nonce(流水号),timestamp，以及其它的各种参数按照一定的规则（ASCII排序）组
成用来识别你的账号有没有访问api接口的权限的字符串，组成之后再进行加密，这个经过加密之后的字符串就是sign签
名。
appid和appsec在线下针对不同的接口调用方提供的。
流水号nonce，订单号一般是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串（guid）。
timestamp时间戳，一般10分钟之内有效。

2、为什么要做接口签名？（大大提高接口的安全性）
(1)防止接口鉴权码泄漏，接口被伪装攻击，（签名，只需要提供签名不需要鉴权码）
(2) 防止接口数据被篡改，（原理：签名针对的是所有的请求数据，只要有一个数字别改动了，那么sign就变了。就会请
求失败。）
(3)防止接口被重复提交，nonce是唯一的。并且只有10分钟之内有效。