『居善地』接口测试 — 10、接口测试的认证机制

目录

1、接口的安全机制

一般在实际项目的接口开发中,接口的安全机制是绕不开的一个话题。不管是自己内部使用的接口也好,还是给第三方使用的接口也好。如果毫无限制的给任何人调用,那么必然会带来诸多安全问题。

例如:重要数据泄密,系统瘫痪等。

2、用户认证

(1)用户认证说明:

HTTP的请求中,有一些请求是需要通过授权认证之后才会响应,授权认证就是检查用户名和密码的过程(鉴权)。

HTTP有一个基本认证方式:在认证的过程中,客户端需要把用户名和密码发给服务器,服务器收到并检查通过后才会响应请求,不通过返回401状态码,提示未授权或者授权失败。

(2)用户认证接口处理:

在测试Web 接口时,不管所用的接口工具(Postman)还是Requests 库,都提供的Auth选项/参数。

这个选项提供了usernamepassword的选项,但这里的Auth用户名和密码,与系统登录的用户名密码有所区别,登录的用户名密码是作为接口的参数来传输,而Auth不是,但它仍然包含在request请求中。

Requests 允许你使用自己指定的身份验证机制。

自定义的身份验证机制是作为 requests.auth.AuthBase 的子类来实现的,也非常容易定义。Requests 在 requests.auth 中提供了两种常见的的身份验证方案: HTTPBasicAuthHTTPDigestAuth

3、示例说明

示例1:使用明文提交用户名密码。

import requests

# 定义请求url
base_url = "http://httpbin.org/get?username=xiaoming&password=123456"

# 发送请求
response = requests.get(base_url)

# 输出请求结果
if response.status_code == 200:
    print(response.text)
    

"""
# 返回结果:(即请求发出的参数的返回)
{
  "args": {
    "password": "123456", 
    "username": "xiaoming"
  }, 
  "headers": {
    "Accept": "*/*", 
    "Accept-Encoding": "gzip, deflate", 
    "Connection": "keep-alive", 
    "Host": "127.0.0.1:9999", 
    "User-Agent": "python-requests/2.18.4"
  }, 
  "origin": "106.35.11.30", 
  "url": "http://httpbin.org/get?username=xiaoming&password=123456"
}
"""

我们可以看到提交与用户名密码相关的数据是明文显示。

示例2:使用requests库的Auth选项提交请求。

import requests
from requests.auth import HTTPBasicAuth

base_url = "http://httpbin.org"

# 身份验证-BasicAuth
response = requests.get(base_url + "/basic-auth/xiaoming/123456", auth=HTTPBasicAuth('xiaoming', '123456'))
if response.status_code == 200:
    print(response.text)


"""
返回结果:
{
  "authenticated": true, 
  "user": "xiaoming"
}

翻译:
{ “已认证” :true ,“用户” :“ xiaoming” }
"""

我们可以看到发送出的数据被隐藏了,没有任何显示。

示例3:我们请求一个实际的登陆界面:

import requests
from requests.auth import HTTPBasicAuth

# 定义请求URL
url = 'http://sck.rjkflm.com:666/spider/auth/'

# HTTPBasicAuth 认证
ah = HTTPBasicAuth('admin', 'admin')

# 发送请求
response = requests.get(url=url, auth=ah)

# 显示结果
if response.status_code == 200:
    print(response.text)

我们使用Fiddler抓取请求,查看请求体。

可以看出Authorization(授权)属性的内容,也就是我们的用户名密码,被进行了加密。

image

总结:

  • 这是一种简单的身份认证,当一个客户端向一个需要认证的HTTP服务器进行数据请求时,如果之前没有认证过,HTTP服务器会返回401状态码,要求客户端输入用户名和密码。

  • 用户输入用户名和密码后,HTTPBasicAuth是通过HTTP的Authorization请求头中,携带经过base64加密的用户名和密码而实现的一种认证。

  • 服务端接收用户名和密码之后会解密其内容,从而获取真正传递过来的用户名和密码,之后再去同步数据库中的用户名和密码,进行比对。

posted @ 2021-06-13 16:00  繁华似锦Fighting  阅读(485)  评论(0编辑  收藏  举报