一般在实际项目的接口开发中,接口的安全机制是绕不开的一个话题。不管是自己内部使用的接口也好,还是给第三方使用的接口也好。如果毫无限制的给任何人调用,那么必然会带来诸多安全问题。
例如:重要数据泄密,系统瘫痪等。
(1)用户认证说明:
HTTP的请求中,有一些请求是需要通过授权认证之后才会响应,授权认证就是检查用户名和密码的过程(鉴权)。
HTTP有一个基本认证方式:在认证的过程中,客户端需要把用户名和密码发给服务器,服务器收到并检查通过后才会响应请求,不通过返回401状态码,提示未授权或者授权失败。
如果你想学习自动化测试,我这边给你推荐一套视频,这个视频可以说是B站播放全网第一的自动化测试教程,同时在线人数到达1000人,并且还有笔记可以领取及各路大神技术交流:798478386
【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)_哔哩哔哩_bilibili【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。https://www.bilibili.com/video/BV17p4y1B77x/?spm_id_from=333.337.search-card.all.click
(2)用户认证接口处理:
在测试Web 接口时,不管所用的接口工具(Postman)还是Requests 库,都提供的Auth选项/参数。
这个选项提供了username 和password 的选项,但这里的Auth用户名和密码,与系统登录的用户名密码有所区别,登录的用户名密码是作为接口的参数来传输,而Auth不是,但它仍然包含在request请求中。
Requests 允许你使用自己指定的身份验证机制。
自定义的身份验证机制是作为 requests.auth.AuthBase
的子类来实现的,也非常容易定义。Requests 在 requests.auth
中提供了两种常见的的身份验证方案: HTTPBasicAuth
和 HTTPDigestAuth
。
示例1:使用明文提交用户名密码。
import requests
# 定义请求url
base_url = "http://httpbin.org/get?username=xiaoming&password=123456"
# 发送请求
response = requests.get(base_url)
# 输出请求结果
if response.status_code == 200:
print(response.text)
"""
# 返回结果:(即请求发出的参数的返回)
{
"args": {
"password": "123456",
"username": "xiaoming"
},
"headers": {
"Accept": "*/*",
"Accept-Encoding": "gzip, deflate",
"Connection": "keep-alive",
"Host": "127.0.0.1:9999",
"User-Agent": "python-requests/2.18.4"
},
"origin": "106.35.11.30",
"url": "http://httpbin.org/get?username=xiaoming&password=123456"
}
"""
我们可以看到提交与用户名密码相关的数据是明文显示。
示例2:使用requests库的Auth选项提交请求。
import requests
from requests.auth import HTTPBasicAuth
base_url = "http://httpbin.org"
# 身份验证-BasicAuth
response = requests.get(base_url + "/basic-auth/xiaoming/123456", auth=HTTPBasicAuth('xiaoming', '123456'))
if response.status_code == 200:
print(response.text)
"""
返回结果:
{
"authenticated": true,
"user": "xiaoming"
}
翻译:
{ “已认证” :true ,“用户” :“ xiaoming” }
"""
我们可以看到发送出的数据被隐藏了,没有任何显示。
示例3:我们请求一个实际的登陆界面:
import requests
from requests.auth import HTTPBasicAuth
# 定义请求URL
url = 'http://sck.rjkflm.com:666/spider/auth/'
# HTTPBasicAuth 认证
ah = HTTPBasicAuth('admin', 'admin')
# 发送请求
response = requests.get(url=url, auth=ah)
# 显示结果
if response.status_code == 200:
print(response.text)
我们使用Fiddler抓取请求,查看请求体。
可以看出Authorization(授权)属性的内容,也就是我们的用户名密码,被进行了加密。
总结:
这是一种简单的身份认证,当一个客户端向一个需要认证的HTTP服务器进行数据请求时,如果之前没有认证过,HTTP服务器会返回401状态码,要求客户端输入用户名和密码。
用户输入用户名和密码后,HTTPBasicAuth
是通过HTTP的Authorization
请求头中,携带经过base64加密的用户名和密码而实现的一种认证。
服务端接收用户名和密码之后会解密其内容,从而获取真正传递过来的用户名和密码,之后再去同步数据库中的用户名和密码,进行比对。