API测试最佳实践 - 身份验证

适用等级:高级

1. 概况

身份验证通常被定义为是对某个资源的身份的确认的活动,这里面资源的身份指代的是API的消费者(或者说是调用者)。一旦一个用户的身份验证通过了,他将被授权访问那些期待访问的资源或API。

验证(Authentication)- 指的是对API最终使用者的确认的活动。

授权(Authorization)- 指对那些验证通过的用户能所能够访问的资源进行确认的活动。

2. 身份验证的标准(Authentication Standars)

身份验证的标准和技术太多了,比如,

2. 1 基于表单的验证(Form Based)

基于Web/HTML的身份验证通常适用HTTP Cookie。

2.2 Basic/Digest/NTLM身份验证

这种身份验证方式使用HTTP头来鉴别用户。

2. 3 WS-Security SAML and Username Tokens

基于SOAP/XML的身份验证方式是通过在SOAP的消息头传递凭证实现的,同时你也可以对该凭证信息进行签名或加密,当然这个过程不是必须的,可选的。

2.4 API关键字(API Key)

每一个API的请求都包含一个唯一标识用户的关键字。

2.5 OAuth 1.x/2

基于HTTP的交互和工作流,授权对资源的使用,如API、Web等。

OAuth包括了一个间接进行身份验证的步骤,但是并没有宣布这个验证要如何进行。

当你的身份验证以来于凭证或者关键字,并且通过HTTP传输,那么你就要小心了。

因此为了避免潜在的攻击者偷听或窃取你得身份信息,你应该强迫自己使用HTTP/SSL而不是未加密的HTTP请求。

当你考虑测试API的身份验证的时候,这方面有很多最佳实践供你选择。

这些最佳实践除了与通用的测试管理相关,还有关于通身份验证测试技术。

3. 集中并且安全存储身份凭证信息

如果你的测试用例脚本包含用户身份凭证信息或者包含访问限制的令牌,那么你就必须考虑集中存储这些信息,并且能够使该信息被轻松及安全的修改,就算其他人能够访问你的测试脚本但也不见得就能读取用户的身份凭证或访问令牌信息。另外,也要确保这些信息不会在日志文件或者测试报告文件中出现:比如你有一个验证用户登陆的测试用例,那么就别把用户名和密码都输出来,至少得做些“手脚”掩盖一下吧。

(我至今还没发现哪个项目组对于用户名和密码有转义、加密或编码的,能完全遵守这条的请护住你的脸~~)

4. 像真实世界的用户一样进行身份验证

不管是作为演示,还是测试环境做测试,都别创建超级用户(超级用户指权限很高的用户)进行登陆或访问关键字身份验证(对于API接口来说)。如果按接下来的方式进行测试,那这种测试绝对是不可信的;没有跟你的实际用户一样使用相同的身份验证机制,就不能发现相应的问题,例如回话过期,未授权访问错误,或者身份验证流程本身存在的错误等。因此,如果具有可行性,请确保你对系统身份验证的方式与现实中的用户保持一致;千万被给你的测试用例或脚本留下后门和隐患。

5. 考虑创建负面测试

你当然也要确保拥有一些身份验证和授权验证相关的测试用例。比如:

  • 输入无效的用户名和密码。
  • 试图在没有身份凭证信息的情况下访问受保护的内容(或资源)。
  • 尝试使用无效的身份凭证或会话令牌。
  • 锁住一个账户,然后验证这个锁定逻辑或时间段被强制执行了。
  • 尝试通过不安全的信道发送(无效或非法)的凭证信息,如使用HTTP而不是HTTPS,未加密的的XML或JSON等等。

任何一个负面的测试用例,都应该验证响应信息,或者返回报文里所包含的响应的错误代码,但是对于客户来说没啥有用的信息返回给他,因此他不能把系统怎么地。例如,一个失败登陆尝试应该被粉饰一下,如果输入的用户名已经在系统中注册过了。

6. 心里时刻想着设计关于身份验证的测试用例

当你设计测试用例的时候,有若干技术能够使身份验证相关的流程更加简便:

  • 模块化你得测试用例 - 如果可行,把你每一个流程里的用来进行身份验证的测试用例、代码或脚本放到一个共享的测试脚本或测试用例李米娜,通过其他的测试用例调用。这样,你就能很容易的修改和维护,尤其是底层的技术或需求变化的时候。
  • 参数化环境配置 - 如果你的测试用例支持不同的测试环境,(dev/test/stagin/production/etc)- 确保你的测试用例很容就能在各环境之间切换。
  • 使用数据驱动的技术 - 对于运行大量的用户身份的测试用例,请使用数据驱动的技术(啥是数据驱动,不需要我解释吧?简单来说就是数据是变化,代码逻辑是不变,你看到是传入的数据和输出的结果。)这么做也是为了在考虑访问控制的情况下所有的数据请求都被正确接收和处理。

7. 也别忘了跑跑性能与压力测试

以上的任意一个测试用例都应该作为负载测试跑一跑,确保一个API的身份验证机制在极端压力下依然正常工作(这也是黑客最常用的手段)。如果有问题,可能跟错误的线程管理有关,数据库连接共享有关等等。如果(没有如果)可能,考虑组合多种不同的身份验证的测试用例,例如,为了获取很挫的错误信息,同时运行负面的身份验证相关的测试用例以及授权相关的测试用例。

[翻译] API测试最佳实践 - 身份验证(Authentication)的更多相关文章

  1. API测试最佳实践 - 身份验证

    适用等级:高级 1. 概况 身份验证通常被定义为是对某个资源的身份的确认的活动,这里面资源的身份指代的是API的消费者(或者说是调用者).一旦一个用户的身份验证通过了,他将被授权访问那些期待访问的资源 ...

  2. [翻译] API测试最佳实践 - 组织你的测试

    组织你的测试 适用级别:初学者 在最底层,一个测试步骤(Test Step)用来验证一个单独的操作.组合若干测试步骤到测试用例,允许你验证那些被分隔出来的一个一个的功能,这些功能是应用程序所需要的.接 ...

  3. RESTful API 设计指南,RESTful API 设计最佳实践

    RESTful API 设计指南,RESTful API 设计最佳实践 网络应用程序,分为前端和后端两个部分.当前的发展趋势,就是前端设备层出不穷(手机.平板.桌面电脑.其他专用设备......). ...

  4. RESTful API 设计最佳实践

    背景 目前互联网上充斥着大量的关于RESTful API(为了方便,以后API和RESTful API 一个意思)如何设计的文章,然而却没有一个"万能"的设计标准:如何鉴权?API ...

  5. ****RESTful API 设计最佳实践(APP后端API设计参考典范)

    http://blog.jobbole.com/41233/ 背景 目前互联网上充斥着大量的关于RESTful API(为方便,下文中“RESTful API ”简写为“API”)如何设计的文章,然而 ...

  6. RESTful API 设计最佳实践(转)

    摘要:目前互联网上充斥着大量的关于RESTful API(为了方便,以后API和RESTful API 一个意思)如何设计的文章,然而却没有一个”万能“的设计标准:如何鉴权?API格式如何?你的API ...

  7. RESTful API 设计最佳实践(转)

    背景 目前互联网上充斥着大量的关于RESTful API(为方便,下文中“RESTful API ”简写为“API”)如何设计的文章,然而却没有一个”万能“的设计标准:如何鉴权?API 格式如何?你的 ...

  8. (转)RESTful API 设计最佳实践

    原文:http://www.oschina.net/translate/best-practices-for-a-pragmatic-restful-api 数据模型已经稳定,接下来你可能需要为web ...

  9. RESTful API 设计最佳实践【转】

    背景 目前互联网上充斥着大量的关于RESTful API(为了方便,后面API和RESTful API 一个意思)如何设计的文章,然而却没有一个“万能”的设计标准:如何鉴权?API格式如何?你的API ...

随机推荐

  1. Filter 详解

    一.Filter简介 Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态 ...

  2. 笔试题:求第M个到第N个素数之间全部素数

    题目描写叙述 令Pi表示第i个素数. 现任给两个正整数M <= N <= 10000,请输出PM到PN的全部素数. 输入描写叙述: 输入在一行中给出M和N,其间以空格分隔. 输出描写叙述: ...

  3. 设计模式-(10)观察者模式 (swift版)

    一,概念 观察者(Observer)模式又名发布-订阅(Publish/Subscribe)模式.GOF给观察者模式如下定义:定义对象间的一种一对多的依赖关系,当一个对象的状态发生改变时,所有依赖于它 ...

  4. TibetanFont | ཡིག་གཟུགས། | 藏文字体

    1.Microsoft Himalaya 微软喜马拉雅字体 2007年1月30日,微软公司向全球市场同步发布了其最新操作系统Windows Vista,并自带藏文字体和输入法,Windows Vist ...

  5. 关于python语言使用redis时,连接是否需要关闭的问题

    python操作完redis,需要关闭连接的吧,怎么关闭呢 1人赞 回复 君惜丶: redis-server会关闭空闲超时的连接redis.conf中可以设置超时时间:timeout 300 2017 ...

  6. vue 基础知识随笔

    在vue2.0中一个vue实例的生命周期中已经没有ready()了,在vue1.0中才有ready();在vue2.0中立即执行函数使用mounted v-for 参数顺序更新: 数组中使用(valu ...

  7. 在 SharePoint 2013 中针对地理位置字段创建地图视图

    在 SharePoint 2013 中针对地理位置字段创建地图视图 了解如何通过在 SharePoint 2013 列表中使用地图视图来显示位置信息.您可以通过 SharePoint 用户界面 (UI ...

  8. ChartCtrl源码剖析之——CChartScrollBar类

    CChartScrollBar类用来针对每个轴的数据进行滚动,将那些不在当前区域内的数据通过滚动展示出来. CChartScrollBar类的头文件. #pragma once class CChar ...

  9. ChartCtrl源码剖析之——CChartGrid类

    CChartGrid类用来绘制波形区域中的表格,当绘制波形时波形就显示在这些表格上面.它处于该控件的区域,如下图所示: CChartGrid类的头文件. #if !defined(AFX_CHARTG ...

  10. 返回一个集合对象,同时这个集合的对象的属性又是一个集合对象的处理方法(ViewModel)

    如果遇到需要返回一个集合对象,其中该集合中的属性又是一个集合.第一种:可在考虑用外键关联,比如在控制器中可以采用预先加载的方式加载关联的数据,比如 RoleManager.Roles.Include& ...