                        課程
                    
                        /后端開發(fā)
                        
                            /Java
                        
                        /使用java構(gòu)建和維護(hù)接口自動化測試框架

httpclient如何做csrf token校驗(yàn)

講的很不錯，可惜遺漏了很大一點(diǎn)，就是如何進(jìn)行authentication或者csrf token驗(yàn)證，這個才是難點(diǎn)所在。

慕圣8495798

2017-06-14

源自：使用java構(gòu)建和維護(hù)接口自動化測試框架 2-6

關(guān)注問題我要回答

4994

操作

收起

2 回答

PencilDragon 回答被采納 +3 積分
2017-06-14

因?yàn)闀r間有限，只能抽一些通俗易懂的部分講解。在MRAutoSpace中每個util之間上下文是共享的，舉例：AuthUtil根據(jù)username和passwd生成全新的token，在httpClientUtil就可以使用這個token放在header中通過auth校驗(yàn)。

2 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

#1

慕圣8495798 提問者

嗯，好的，我一直都被這個問題所困擾。目前我對所在的項(xiàng)目試著做接口自動化測試，通過web登錄的時候，會得到一個csrf token，而且這個token是隨機(jī)值，并且同時服務(wù)器會校驗(yàn)此logon的request里面是否包含這個token。難點(diǎn)1：通過Authentication進(jìn)行登錄。難點(diǎn)2：如何獲取這個隨機(jī)token。希望有機(jī)會可以繼續(xù)跟著你學(xué)習(xí)一下，謝謝！

2017-06-15 回復(fù) 有任何疑惑可以回復(fù)我~

PencilDragon
2017-06-15

兩個辦法：

1、token校驗(yàn)其實(shí)是和當(dāng)前接口業(yè)務(wù)無關(guān)的，包括簽名驗(yàn)證等類似的操作最好在測試環(huán)境能有相關(guān)配置跳過這些校驗(yàn)，也防止這些服務(wù)掛掉的時候影響業(yè)務(wù)case的執(zhí)行結(jié)果；

2、實(shí)在要模擬真實(shí)場景的話，寫個靜態(tài)方法，參數(shù)是username/passwd，返回值是token，每次都調(diào)用Login接口獲取實(shí)時的token，再放到具體接口測試case的header中，這樣也可以解決問題，就是每次調(diào)用login接口會增加case的執(zhí)行時間。

1 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

#1

慕圣8495798 提問者

好辦法！我空了再試試，謝謝啦！

2017-06-15 回復(fù) 有任何疑惑可以回復(fù)我~