接口测试理论（4）--会话管理

会话的概念

由于HTTP协议无状态的特点，所以客户端和服务器都不会保存客户端请求的相关信息。

所以服务器无法知道客户端的请求状态是不是已登录的状态，

为了解决这个问题，我们需要通过一个字符串表示用户的未登录/已登陆的状态。然后控制用户对资源的访问。

在现在的Web项目中，管理用户会话主要有3种实现方式：

基于Cookie

基于Session

token

典型的会话管理接口也叫做登陆接口或授权接口

基于Cookie实现会话管理

Cookie：一种由服务器发送到用户浏览器并保存在本地的小型数据块，通常以key-value的形式存储。每当浏览器请求该网站时，浏览器会同时发送该Cookie，使得服务器能够识别用户并恢复之前的状态或偏好。默认大小4KB

Cookie的特点：

不能跨域：我们访问服务器时，都会通过域名来访问。例如：www.lagou.com，这个www.lagou.com是域名。 如果是我们www.lagou.com域名指向的服务器发送的cookie，那么这个cookie就不能在www.baidu.com中使 用。

存在有效期： Cookie存在有效时间，超过规定的时间后就会失效。可以设置Cookie的配置，来让cookie永久不失效。 不设置有效期时，cookie默认是一个session cookie，浏览器不关闭，cookie不失效

大小：默认4KB大小

有数量限制：不同浏览器限制的cookie数量不一样，为了保证兼容性，做最低兼容，cookie数量不要超过二十 个。

对字符编码有限制

Cookie实现会话管理流程

 1.用户发起登陆请求，服务器根据用户输入的用户名密码判断是否满足登陆的条件，满足则创建一个用户凭证 （字符串）

 2.服务器对该用户凭证进行签名，加密后，写在cookie中

 3. 服务器返回该cookie给客户端

4.客户端保存cookie，并且下次请求时，会默认发送cookie给服务器，服务器做解密和签名认证后拿到其中的登 陆凭证，判断其有效性。判断通过则允许用户访问登陆后的页面，不通过则提示用户登陆

 基于Session实现会话管理

session是：一种在服务器端跟踪用户状态的机制，它通过在客户端和服务器之间传递一个唯一的Session ID来识别用户。把用户数据，放在服务端。

 但是客户端依然需要通过sessionid来访问存放在服务端的session，这样才能实现会话管理。

 cookie和session的区别

1.位置不同，cookie在客户端，session在服务器

2.大小不同，cookie默认4kb，session无上限。

3.性能不同，cookie在客户端，不会占用太多服务器资源，而session占用服务器资源，对服务器压力较大

4.有效期不同，cookie可以设置为永久不失效，而session中，浏览器一旦关闭sessoin就会自动close失效

5.安全性不同：cookie在客户端不安全。session在服务端更安全

Token实现会话管理

Token是服务端生成的一串字符串，用来当作客户端请求的令牌，当第一次登录后，服务器根据用户数据的信息，生 成token，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

作用：Token的目的是为了减轻服务器的压力，减少频繁的查询数据库，使服务器更加健壮。

token的结构：

token分成三个部分，头、请求体和签名。每个部分用“.”做分隔符

 头(header) 服务器从头信息中，获取相关的加密算法来对请求体进行解密

请求体(payload) 服务器使用头信息中的算法解密payload部分后，得到用户信息，然后继续管理用户的状态。

签名(signature) 服务器通过使用头信息中记录的签名算法，来对头和请求体进行签名，再与token中的签名进行比较。 如果一致，证明token没有被篡改。

会话的有效时间控制

cookie实现的会话，可以通过cookie的有效时间配置，客户端无法控制cookie的有效时间，怎么通过服务端代码进行控制。

session实现的会话，可以通过cookie和session双向的有效时间进行控制

token的有效时间，可以通过token、cookie和session三个技术的有效时间进行控制

此外，实际应用中，还可以通过给接口的参数指定时间戳，然后通过内部代码逻辑校验时间戳。 应用：12306未支付订单的有效时间

 

 

接口测试难点：登陆接口处理方法

登陆接口是一个带有安全功能的接口，其中包括了用户名、密码、验证码这三块。

其中，密码必须使用内部算法加密；验证码必须让黑客难以识别。这也就带来了无法通过接口对登陆接口进行全面测 试的问题。

所以接口测试中，不会全面测试登陆接口，改为通过手工进行登陆功能的测试。

 绕过登陆的方法：拿到令牌（也就是token）【"token"（令牌）想象成一把特殊的钥匙。这把钥匙被用来确认你的身份并授予你特定的权限。】

通过前端页面登陆，拿到令牌

Mock登陆接口： Mock验证码为万能验证码，Mock登陆接口密码为固定密码从而让测试能够进行登陆，拿到令牌

白名单控制 在代码中增加白名单功能，白名单账号无需复杂的校验就可以通过接口登陆，拿到令牌

以上解决方法，除了第一种可以测试人员独立解决以外，其他两种，都需要开发协助才能解决。

 

扩展：接口签名

 接口签名非常好理解，就是把接口的请求数据，进行签名后，再放入该接口的sign中。

主要的目的，就是为了防止接口信息被非法篡改，保证每次接口请求数据的一致性和完整性。 但是它并不能阻止黑客查看接口的数据。

 

应用：保证数据的一致性、完整性

签名后的接口测试方法：

开发提供签名算法，我们使用工具也构造出同样要求的请求

开发提供签名的工具或插件，我们使用它们，结合接口测试工具，构造出同样要求的请求

开发关闭签名，不校验sign（这种属于不全面的测试，没有校验的sign，需要开启sign之后，放在手工环节进 行）