涨薪技术|掌握带安全认证的接口测试
接口安全测试通常包括以下几种:
-
身份验证和授权测试:测试接口是否正确实现了身份验证和授权,以防止未授权访问或不合法的访问。
-
输入验证测试:测试接口是否正确验证输入参数,以防止非法输入参数和SQL注入攻击等。
-
输出验证测试:测试接口是否正确输出预期的数据,并且数据没有被篡改。
-
会话管理测试:测试接口是否正确实现了会话管理,以防止会话劫持等攻击。
-
数据保护测试:测试接口是否在传输和存储数据时,采取了适当的加密和保护措施,以防止数据泄漏。
-
异常处理测试:测试接口是否正确处理异常情况,以防止拒绝服务攻击和系统崩溃。
-
安全配置测试:测试接口是否正确配置了安全相关的参数,以防止漏洞被利用。
-
接口集成测试:测试接口在与其它系统集成时是否存在漏洞和安全问题。
01接口安全策略
一、Session/Cookie
1. 服务器在接受客户端首次访问时在服务器端创建session并保存(可以将seesion保存在内存中,也可以保存在Redis),然后给这个session生成一个唯一的标识字符串(sid),在响应首部中带上该字符串。
2. 签名。这一步通过秘钥对sid进行签名处理,避免客户端修改sid。(可选)
3. 浏览器中收到请求响应的时候会解析响应头,然后将sid保存在本地cookie中,浏览器在下次http请求的请求头中会带上该域名下的cookie信息。
4. 服务器在接受客户端请求时会去解析请求头cookie中的sid,然后根据这个sid去找服务器端保存的该客 户端的session,然后判断该请求是否合法。
二、Token
2.1Acesss Token
访问资源接口(API)时所需要的资源凭证;
简单 token 的组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)
特点:
①支持跨域访问:
Cookie auth 是不允许跨域访问的,但是 Token auth是可以的,只需要将用户认证信息通过 HTTP 头出入即可。
② 无状态(服务器可扩展性):
Token机制在服务器端不需要存储Session信息,因为在Token中包含了所有的登陆用户信息,只需要在客户端的cookie或者本地介质中存储状态信息。
③ 要适用CDN:
可以通过内容分发请求你服务端的所有资料(如:js、html、图片等),而在服务端只需要提供 API 即可。
④ 去除耦合性:
Token可以在任何的地方生成,所以不需要绑定到一个特定的身份认证方案,只要在调用你的 API 时,你可以进行Token的生成调用即可。
⑤ 适用于移动应用:
Cookie 是不能在原生平台(IOS、Android、Windows8等)上被支持的(需要通过Cookie容器来处理),而此时使用Token机制会方便很多
⑥ CSRF(跨站请求伪造):
因为Token本身是不依赖与Cookie的,所以不需要考虑CSRF的防范。
⑦ 性能:
Cookie认证,需要在一次网络往返中,通过数据库查询Session信息,而Token只需要进行一次的 hmacsha256 的计算,因此在性能上会好很多。
⑧ 基于标准化:
你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft)
token 的身份验证流程:
1. 客户端使用用户名跟密码请求登录
2. 服务端收到请求,去验证用户名与密码
3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie里或者 Local Storage 里
5. 客户端每次向服务端请求资源的时候需要带着服务端签发的Token
6. 服务端收到请求,然后去验证客户端请求里面带着的
Token(request头部添加Authorization),如果验证成功,就向客户端返回请求的数据,如果不成功返回401错误码,鉴权失败。
每一次请求都需要携带 token,需要把 token 放到 HTTP 的Header 里基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据。用解析 token 的计算时间换取 session 的存储空间,从而减轻服务器的压力,减少频繁的查询数据库token 完全由应用管理,所以它可以避开同源策略
2.2Refresh Token
refresh token 是专用于刷新 access token 的 token。如果没有refresh token,也可以刷新 access token,但每次刷新都要用户输入登录用户名与密码,会很麻烦。有了 refresh token,可以减少这个麻烦,客户端直接用 refresh token 去更新 access token,无需用户进行额外的操作。
Access Token 的有效期比较短,当 Acesss Token 由于过期而失效时,使用 Refresh Token 就可以获取到新的 Token,如果 RefreshToken 也失效了,用户就只能重新登录了。
Refresh Token 及过期时间是存储在服务器的数据库中,只有在申请新的 Acesss Token 时才会验证,不会对业务接口响应时间造成影响,也不需要向 Session 一样一直保持在内存中以应对大量的请求。
三、Oauth2.0
OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。
(应用中集成第三方登录,微信,QQ,微博等等)
四种授权方式:
-
授权码(authorization-code
-
隐藏式(implicit)
-
密码式(password):
-
客户端凭证(client credentials)
02安全认证接口实战
1. 发送登录请求,请求返回sid或token;2. 使用后置处理器,比如正则表达式提取器,JSON提取器等,提取sid或token;3. 将提取的sid或token在后续的请求中发送给服务器;附加sid或token的方式。sid:放在cookie首部使用cookie管理器;使用header管理器。在JMeter中Cookie不能跨线程组。若要跨线程组,需要将sid保存到属性中。token: 放在cookie首部(少见)放在header管理器中Authorization: token_valuetoken: token_value