『居善地』接口測試 — 10、接口測試的認證機制

目錄

• 1、接口的安全機制
• 2、用戶認證
• 3、示例說明

1、接口的安全機制

一般在實際項目的接口開發中，接口的安全機制是繞不開的一個話題。不管是自己內部使用的接口也好，還是給第三方使用的接口也好。如果毫無限制的給任何人調用，那么必然會帶來諸多安全問題。

例如：重要數據泄密，系統癱瘓等。

2、用戶認證

（1）用戶認證說明：

HTTP的請求中，有一些請求是需要通過授權認證之后才會響應，授權認證就是檢查用戶名和密碼的過程（鑒權）。

HTTP有一個基本認證方式：在認證的過程中，客戶端需要把用戶名和密碼發給服務器，服務器收到並檢查通過后才會響應請求，不通過返回401狀態碼，提示未授權或者授權失敗。

（2）用戶認證接口處理：

在測試Web 接口時，不管所用的接口工具（Postman）還是Requests 庫，都提供的Auth選項/參數。

這個選項提供了username和password的選項，但這里的Auth用戶名和密碼，與系統登錄的用戶名密碼有所區別，登錄的用戶名密碼是作為接口的參數來傳輸，而Auth不是，但它仍然包含在request請求中。

Requests 允許你使用自己指定的身份驗證機制。

自定義的身份驗證機制是作為 requests.auth.AuthBase 的子類來實現的，也非常容易定義。Requests 在 requests.auth 中提供了兩種常見的的身份驗證方案： HTTPBasicAuth 和 HTTPDigestAuth 。

3、示例說明

示例1：使用明文提交用戶名密碼。

import requests

# 定義請求url
base_url = "http://httpbin.org/get?username=xiaoming&password=123456"

# 發送請求
response = requests.get(base_url)

# 輸出請求結果
if response.status_code == 200:
    print(response.text)
    

"""
# 返回結果：（即請求發出的參數的返回）
{
  "args": {
    "password": "123456", 
    "username": "xiaoming"
  }, 
  "headers": {
    "Accept": "*/*", 
    "Accept-Encoding": "gzip, deflate", 
    "Connection": "keep-alive", 
    "Host": "127.0.0.1:9999", 
    "User-Agent": "python-requests/2.18.4"
  }, 
  "origin": "106.35.11.30", 
  "url": "http://httpbin.org/get?username=xiaoming&password=123456"
}
"""

我們可以看到提交與用戶名密碼相關的數據是明文顯示。

示例2：使用requests庫的Auth選項提交請求。

import requests
from requests.auth import HTTPBasicAuth

base_url = "http://httpbin.org"

# 身份驗證-BasicAuth
response = requests.get(base_url + "/basic-auth/xiaoming/123456", auth=HTTPBasicAuth('xiaoming', '123456'))
if response.status_code == 200:
    print(response.text)


"""
返回結果：
{
  "authenticated": true, 
  "user": "xiaoming"
}

翻譯：
{ “已認證” ：true ，“用戶” ：“ xiaoming” }
"""

我們可以看到發送出的數據被隱藏了，沒有任何顯示。

示例3：我們請求一個實際的登陸界面：

import requests
from requests.auth import HTTPBasicAuth

# 定義請求URL
url = 'http://sck.rjkflm.com:666/spider/auth/'

# HTTPBasicAuth 認證
ah = HTTPBasicAuth('admin', 'admin')

# 發送請求
response = requests.get(url=url, auth=ah)

# 顯示結果
if response.status_code == 200:
    print(response.text)

我們使用Fiddler抓取請求，查看請求體。

可以看出Authorization（授權）屬性的內容，也就是我們的用戶名密碼，被進行了加密。

總結：

• 這是一種簡單的身份認證，當一個客戶端向一個需要認證的HTTP服務器進行數據請求時，如果之前沒有認證過，HTTP服務器會返回401狀態碼，要求客戶端輸入用戶名和密碼。

• 用戶輸入用戶名和密碼后，HTTPBasicAuth是通過HTTP的Authorization請求頭中，攜帶經過base64加密的用戶名和密碼而實現的一種認證。

• 服務端接收用戶名和密碼之后會解密其內容，從而獲取真正傳遞過來的用戶名和密碼，之后再去同步數據庫中的用戶名和密碼，進行比對。