request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp页面和该页面用指令包含的页面以及标记包含的其它jsp页面;
Session是用户全局变量,在整个会话期间都有效。只要页面不关闭就一直有效(或者直到用户一直未活动导致会话过期,默认session过期时间为30分钟,或调用HttpSession的invalidate()方法)。存放在HttpSession对象中 ,同一个http会话中的web组件共享它。
1:防止表单重复提交(防止表单重复提交一般还是使用前后端都限制的方式,比如:在前端点击提交之后,将按钮置为灰色,不可再次点击,然后客户端和服务端的token各自独立存储,客户端存储在Cookie或者Form的隐藏域(放在Form隐藏域中的时候,需要每个表单)中,服务端存储在Session(单机系统中可以使用)或者其他缓存系统(分布式系统可以使用)中。)
2:用来作身份验证,其他接口将从环境变量中获取token的值,设置到header中。
主要的理念是,客户端初始化的时候,一般就是刚刚进入页面的时候就调用后端代码,后端代码生成一个token,返回给客户端,客户端储存token(可以在前台使用Form表单中使用隐藏域来存储这个Token,也可以使用cookie),然后就将request(请求)中的token与(session)中的token进行比较。
大概的流程是这样的:
客户端使用用户名跟密码请求登录
服务端收到请求,去验证用户名与密码
验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。
方法一:放在请求头中
方法二:使用beforeSend方法设置请求头
明白了token的作用和机制,那么在后端的接口测试中也就不要想着怎么样去跳过token值和验证码的验证了(虽然我本人也尝试过),但很明显,如果被你跳过了这个测试,那么这个后端系统的安全问题也就太大了。接下来告诉大家我的后端接口测试方式:
1:使用postman 先调用获取验证码的接口,将验证码返回的数据作为postman的环境变量
2:根据用户名和密码,再获取环境变量中的验证码拿到token,将token设置到环境变量中
3:其他接口将从环境变量中获取token的值,设置到header中
var respObj = JSON.parse(responseBody);
// 获取到验证码的UUID,保存到环境变量中
postman.setEnvironmentVariable("loginUUID", respObj.uuid);
// 获取到验证码值,保存到环境变量中
postman.setEnvironmentVariable("loginVerifyCode", respObj.verifyCode);
{
"username": "admin",
"password": "admin123",
"code": "{{loginVerifyCode}}",
"uuid": "{{loginUUID}}"
}
var respObj = JSON.parse(responseBody);
// 获取到验证码的UUID,保存到环境变量中
postman.setEnvironmentVariable("token", respObj.token);
第一步:消除shiro对接口的监控
在shiro配置文件shiroconfig中:
filterMap.put(“接口路径”, “anon”);
例如:
filterMap.put("/project/", “anon”);可消除shiro对/project接口路径下的所有请求的认证拦截。
第二步:取消测试接口的用户身份权限监听。
注销接口的@RequiresPermissions("::")
参考:https://blog.csdn.net/hbiao68/article/details/107065318