API⾃动化测试(2)

请求头/响应头

请求地址

请求方法

请求头

请求参数

COOKI E：

1、反爬虫

2、身份认证

Referer:请求是从哪个页面发送过来的

User-Agent：通过什么客户端向服务端发送请求

Content-Type：指的是客户端通过什么样的数据格式向服务端发送请求（XML,表单，JSON）

如果是互联网的产品，请求头必须需要带：

1、cookie

2、Referer

3、user-agent

4、content-type

如果是自己公司的产品：

1、content-type

2、cookie

 

1、协议状态码：Status Code

2、响应头 Content-Type ：指的是返回的响应数据的数据格式 Set-Cookie：服务端把身份认证信息返回给客户端

3、响应数据

POST

常用的几种数据格式：

1、XML的格式

 

 

2、表单数据格式

3、JSON数据格式

 

 

常用的协议状态码

2200 请求OK

201 创建成功(添加商品)

204 Not Content ：删除资源

301 永久重定向

302 临时重定项

400 Bad Request 客户端请求错误

401 Unauthorized ⽆权限访问该系统

403 Forbidden 有权限但是禁⽌访问

404 请求的资源不存在url错误

405 请求方法错误

415 请求头错误

500 服务器内部错误

504 GateWay Timeout 网关超时

ApiGateWay (网关)：【

1、统一的API访问入口（限流）

2、统一的认证授权体系

3、统一的安全体系

 

COOKIE

HTTP的一个无状态的协议 COOKIE:

1、记住用户之前的操作行为

2、用户认证授权 COOKIE的信息是存储在客户端的，它是不安全的

COOKIE的了流程：

1、客户端输入账户和密码，登录成功，生成一个用户唯一的的信息（用户唯一的认证授权信息）

2、服务端把生成的用户唯一的的信息通过响应头中的Set-Cookie返回给客户端

3、再系统下个请求中，比如查看个人主页，发送个人主页请求的时候，会在请求头中的Cookie中带上服务端返回来的用户唯一的的信息发送给服务端

4、服务端接收到，来进行对比信息是否一致

 

cookie session token必须知识

　　HTTP是一个无状态的协议，所以也就导致了COOKIE技术的发展，通过COOKIE能够记下用户操作的行为状态，但是COOKIE它是存储在客户端的，所以就不安全，为了解决安全的问题，SESSION诞生，SESSION它是存储在服务端相对来说比较安全。后面移动互联网诞生，就有了TOKEN，TOKEN本质上是SESSION原理来实现的，它的流程与SESSION一样，它被称为一个令牌。

cookie：不安全 存储在客户端

session：相对安全，存储在服务端

token：session原理，随机字符串，被称为令牌。

1、以登录为例来说明COOKIE的流程：

　　1、客户端输入账户密码登录成功

　　2、在服务端生成cookie的信息，通过响应头中的set-cookie把生成的cookie返回给客户端

　　3、客户端在下次请求的时候，通过请求头中的cookie带上 发给服务端，服务端内部进行验证

2、以登录为例来说明session的流程：

　　1、客户端输入账户密码登录成功

　　2、在服务端生成sessionID，同时存储在服务端本地，通过响应头中的set-cookie把生成的sessionID返回给客户端

　　3、客户端接收到sessionID后再次请求服务端时（比如访问个人主页），会在请求头的cookie中带上sessionID发送给服务端

　　4、服务端接受到客户端发送过来的sessionID，与存储在服务端本地的sessionID之间进行对比。（一致允许访问个人主页；不一致，重定向到登录页面。）

3、token流程

　　token与session的流程一样

　　1、每次登录成功后，生成的token不一样返回的token是一个随机的字符串

　　2、token一般通过响应数据返回给客户端

　　3、客户端发送请求给服务端是通过：请求头里面的Authorization：JWT {{token}}

怎么理解session会话对象？

所有请求之间的cookie是共享的

请求底层的tcp连接将会被重用，这样对服务端来说，不会造成不必要的性能上的损耗