Cookie、session、token、sign鉴权

• Cookie及token

  请求原理：
  cookie信息 第一次访问及登陆接口的响应头里会返回：set-cookie,包含Uid,sessionId、域名domain;token是在登陆接口的响应体里返回的。其它接口在请求头里携带cookie或token. web通常用cookie,移动端通常用token

　　　　

 

　　　　Cookie是在响应头里返回的。如下所示：

　　　　

• Jmeter里cookie请求：

　　　用“配置元件->HTTP Cookie管理器”来管理，HTTP Cookie管理器里不需要设置，Jmeter自动处理cookie; token用“配置元件-> HTTP信息头管理器”来管理,需要人为提取token后添加到HTTP信息头管理器。

Cookie管理器添加放到取样器上面即可，不需要任何操作，如下所示：

　　

 

　　Token需要添加token属性，如下所示：

　　

 

Cookie鉴权（第一次请求）

有时Cookie鉴权可以和Session鉴权以及Token鉴权同时使用

因为Session、Token都可以通过Cookie传输

session鉴权（登陆）

接口测试里面不会用，接口自动化里面用到；

Requests方法

Token鉴权（第一次请求和登录）

Csrf_token 15分钟

Refresh_token 一般15天

 

Cookie、session、token相同点和不同点：
相同点：都是用于鉴权并且都是服务器产生的

不同点：cookie保存在客户端，session保存在服务器端的内存里，session比cookie安全。Token保存在服务器的硬盘里，Token比session更省服务器资源

 

Postman、jmeter：都需要处理cookie

接口自动化：cookie、session

web自动化：万能验证码

Sign:最复杂的鉴权方式，也是最流行的方式。