『居善地』介面測試 — 10、介面測試的認證機制

繁華似錦Fighting發表於2021-06-13

1、介面的安全機制

一般在實際專案的介面開發中，介面的安全機制是繞不開的一個話題。不管是自己內部使用的介面也好，還是給第三方使用的介面也好。如果毫無限制的給任何人呼叫，那麼必然會帶來諸多安全問題。

例如：重要資料洩密，系統癱瘓等。

2、使用者認證

（1）使用者認證說明：

HTTP的請求中，有一些請求是需要通過授權認證之後才會響應，授權認證就是檢查使用者名稱和密碼的過程（鑑權）。

HTTP有一個基本認證方式：在認證的過程中，客戶端需要把使用者名稱和密碼發給伺服器，伺服器收到並檢查通過後才會響應請求，不通過返回401狀態碼，提示未授權或者授權失敗。

（2）使用者認證介面處理：

在測試Web 介面時，不管所用的介面工具（Postman）還是Requests 庫，都提供的Auth選項/引數。

這個選項提供了username和password的選項，但這裡的Auth使用者名稱和密碼，與系統登入的使用者名稱密碼有所區別，登入的使用者名稱密碼是作為介面的引數來傳輸，而Auth不是，但它仍然包含在request請求中。

Requests 允許你使用自己指定的身份驗證機制。

自定義的身份驗證機制是作為 requests.auth.AuthBase 的子類來實現的，也非常容易定義。Requests 在 requests.auth 中提供了兩種常見的的身份驗證方案： HTTPBasicAuth 和 HTTPDigestAuth 。

3、示例說明

示例1：使用明文提交使用者名稱密碼。

import requests

# 定義請求url
base_url = "http://httpbin.org/get?username=xiaoming&password=123456"

# 傳送請求
response = requests.get(base_url)

# 輸出請求結果
if response.status_code == 200:
    print(response.text)
    

"""
# 返回結果：（即請求發出的引數的返回）
{
  "args": {
    "password": "123456", 
    "username": "xiaoming"
  }, 
  "headers": {
    "Accept": "*/*", 
    "Accept-Encoding": "gzip, deflate", 
    "Connection": "keep-alive", 
    "Host": "127.0.0.1:9999", 
    "User-Agent": "python-requests/2.18.4"
  }, 
  "origin": "106.35.11.30", 
  "url": "http://httpbin.org/get?username=xiaoming&password=123456"
}
"""

我們可以看到提交與使用者名稱密碼相關的資料是明文顯示。

示例2：使用requests庫的Auth選項提交請求。

import requests
from requests.auth import HTTPBasicAuth

base_url = "http://httpbin.org"

# 身份驗證-BasicAuth
response = requests.get(base_url + "/basic-auth/xiaoming/123456", auth=HTTPBasicAuth('xiaoming', '123456'))
if response.status_code == 200:
    print(response.text)


"""
返回結果：
{
  "authenticated": true, 
  "user": "xiaoming"
}

翻譯：
{ “已認證” ：true ，“使用者” ：“ xiaoming” }
"""

我們可以看到傳送出的資料被隱藏了，沒有任何顯示。

示例3：我們請求一個實際的登陸介面：

import requests
from requests.auth import HTTPBasicAuth

# 定義請求URL
url = 'http://sck.rjkflm.com:666/spider/auth/'

# HTTPBasicAuth 認證
ah = HTTPBasicAuth('admin', 'admin')

# 傳送請求
response = requests.get(url=url, auth=ah)

# 顯示結果
if response.status_code == 200:
    print(response.text)

我們使用Fiddler抓取請求，檢視請求體。

可以看出Authorization（授權）屬性的內容，也就是我們的使用者名稱密碼，被進行了加密。

總結：

這是一種簡單的身份認證，當一個客戶端向一個需要認證的HTTP伺服器進行資料請求時，如果之前沒有認證過，HTTP伺服器會返回401狀態碼，要求客戶端輸入使用者名稱和密碼。

使用者輸入使用者名稱和密碼後，HTTPBasicAuth是通過HTTP的Authorization請求頭中，攜帶經過base64加密的使用者名稱和密碼而實現的一種認證。

服務端接收使用者名稱和密碼之後會解密其內容，從而獲取真正傳遞過來的使用者名稱和密碼，之後再去同步資料庫中的使用者名稱和密碼，進行比對。

『居善地』介面測試 — 1、介面測試的概念
2021-05-15
『居善地』介面測試 — 2、介面和介面文件概念
2021-05-16
『居善地』介面測試 — 13、Moco框架的使用
2021-06-17
框架
『居善地』介面測試 — 11、介面簽名sign原理
2021-06-14
『居善地』介面測試 — 3、Requests庫介紹
2021-05-17
『居善地』介面測試 — 12、Moco框架介紹
2021-06-16
框架
『居善地』介面測試 — 7、介面自動化測試框架的設計與實現
2021-06-05
框架
『居善地』介面測試 — 6、Httpbin服務介紹
2021-05-20
HTTP
『居善地』介面測試 — 5、使用Requests庫傳送POST請求
2021-05-19
『居善地』介面測試 — 9、介面自動化框架的傳送郵件實現
2021-06-06
框架
『居善地』介面測試 — 7、Requests庫使用proxies代理髮送請求
2021-06-06
介面測試測試流程
2022-05-05
API 測試 | 瞭解 API 介面測試 | API 介面測試指南
2023-04-07
API
jmeter介面測試教程以及介面測試流程
2020-11-08
JMeter
介面測試裡的查詢介面要測試嗎
2020-08-16
介面測試
2018-07-23
【軟體測試】——介面測試
2020-12-26
Jmeter介面測試+效能測試
2024-04-16
JMeter
API測試：瞭解API介面測試與API介面測試指南
2023-11-21
API
介面測試的價值（為什麼要做介面測試）
2020-11-29
介面測試是什麼？如何做好介面測試？
2020-11-23
測試平臺之介面測試
2020-08-21
介面測試要測試什麼?
2021-09-01
Apifox介面測試教程（一）介面測試的原理與工具
2021-11-23
API
介面測試求助
2020-06-18
介面測試工具
2020-10-27
介面測試方法
2016-12-05
為什麼要做介面測試?可做介面測試的軟體測試公司分享
2022-06-02
介面測試和效能測試的區別
2020-11-27
介面測試和功能測試的區別
2020-11-26
介面測試怎麼進行,如何做好介面測試
2020-12-04
小白測試系列:介面測試與效能測試的區別
2020-07-31
測試中，介面測試的必要性與介面測試的基礎用例設計
2020-09-27
使用請求頭認證來測試需要授權的 API 介面
2020-06-09
API
介面測試--介面文件規範
2020-11-28
App測試、Web測試和介面測試一般測試流程
2022-05-07
APPWeb
微服務測試之介面測試和契約測試
2019-04-08
微服務
『政善治』Postman工具 — 13、Postman介面測試綜合練習
2021-05-24
Postman

『居善地』介面測試 — 10、介面測試的認證機制

1、介面的安全機制

2、使用者認證

3、示例說明

相關文章