                        課程
                    
                        /后端開發(fā)
                        
                            /Java
                        
                        /使用java構(gòu)建和維護(hù)接口自動(dòng)化測(cè)試框架

httpclient如何做csrf token校驗(yàn)

講的很不錯(cuò)，可惜遺漏了很大一點(diǎn)，就是如何進(jìn)行authentication或者csrf token驗(yàn)證，這個(gè)才是難點(diǎn)所在。

慕圣8495798

2017-06-14

源自：使用java構(gòu)建和維護(hù)接口自動(dòng)化測(cè)試框架 2-6

關(guān)注問題我要回答

5022

操作

收起

2 回答

PencilDragon 回答被采納 +3 積分
2017-06-14

因?yàn)闀r(shí)間有限，只能抽一些通俗易懂的部分講解。在MRAutoSpace中每個(gè)util之間上下文是共享的，舉例：AuthUtil根據(jù)username和passwd生成全新的token，在httpClientUtil就可以使用這個(gè)token放在header中通過auth校驗(yàn)。

2 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

#1

慕圣8495798 提問者

嗯，好的，我一直都被這個(gè)問題所困擾。目前我對(duì)所在的項(xiàng)目試著做接口自動(dòng)化測(cè)試，通過web登錄的時(shí)候，會(huì)得到一個(gè)csrf token，而且這個(gè)token是隨機(jī)值，并且同時(shí)服務(wù)器會(huì)校驗(yàn)此logon的request里面是否包含這個(gè)token。難點(diǎn)1：通過Authentication進(jìn)行登錄。難點(diǎn)2：如何獲取這個(gè)隨機(jī)token。希望有機(jī)會(huì)可以繼續(xù)跟著你學(xué)習(xí)一下，謝謝！

2017-06-15 回復(fù) 有任何疑惑可以回復(fù)我~

PencilDragon
2017-06-15

兩個(gè)辦法：

1、token校驗(yàn)其實(shí)是和當(dāng)前接口業(yè)務(wù)無關(guān)的，包括簽名驗(yàn)證等類似的操作最好在測(cè)試環(huán)境能有相關(guān)配置跳過這些校驗(yàn)，也防止這些服務(wù)掛掉的時(shí)候影響業(yè)務(wù)case的執(zhí)行結(jié)果；

2、實(shí)在要模擬真實(shí)場(chǎng)景的話，寫個(gè)靜態(tài)方法，參數(shù)是username/passwd，返回值是token，每次都調(diào)用Login接口獲取實(shí)時(shí)的token，再放到具體接口測(cè)試case的header中，這樣也可以解決問題，就是每次調(diào)用login接口會(huì)增加case的執(zhí)行時(shí)間。

1 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

#1

慕圣8495798 提問者

好辦法！我空了再試試，謝謝啦！

2017-06-15 回復(fù) 有任何疑惑可以回復(fù)我~