安科网

Python接口自动化之Token详解及应用

huanghong

huanghong

2020-05-03

关注 关注

在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、session应用

介绍了cookie、session原理及在自动化过程中如何利用cookie、session保持会话状态。

以下介绍Token原理及在自动化中的应用。

?

一、Token基本概念及原理

 1、Token作用


为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。                            

Python接口自动化之Token详解及应用

2、什么是Token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

Python接口自动化之Token详解及应用

3、Token运行原理

Python接口自动化之Token详解及应用

1.当用户首次登录成功之后, 服务器端就会生成一个 token 值,这个值会在服务器保存token值(保存在数据库中),再将这个token值返回给客户端;

2.客户端拿到 token 值之后,进行保存 (保存位置由服务器端设置);

3.以后客户端再次发送网络请求(一般不是登录请求)的时候,就会将这个 token 值附带到参数中发送给服务器;

4.服务器接收到客户端的请求之后,会取出token值与保存在本地(数据库)中的token值进行比较;

5.如果两个 token 值相同, 说明用户登录成功过,当前用户处于登录状态;

6.如果没有这个 token 值, 没有登录成功;

7.如果 token 值不同,说明原来的登录信息已经失效,让用户重新登录;

4、Token认证优点

  • 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.

  • 可重用性:在多个平台和域(domains)上运行,重复使用相同的令牌来验证用户,很容易构建与其他应用程序共享权限的应用程序。

  • 安全性:由于我们没有使用 Cookies,我们不必再防御网站的跨站点请求伪造(CSRF)攻击。

5、Token和 Cookie、Session 的选型

对于只需要登录用户并访问存储在站点数据库中的一些信息的中小型网站来说,Session Cookies 通常就能满足。如果有企业级站点,应用程序或附近的站点,并且需要处理大量的请求,尤其是第三方或很多第三方(包括位于不同域的API),则 token显然更适合。

二、Token实战

讲了那么多概念和原理,很多小伙伴可能不知道token长啥样,接下来以接口登录为例。

import requests
url = ‘http://127.0.0.1:8000/user/login/‘
payload = {
    "username":"vivi",
    "password":"123456"
}
res = requests.post(url,json=payload)
print(res.text)
响应结果如下:
{
  "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InZpdmkiLCJleHAiOjE1ODY4NDg5NzgsImVtYWlsIjoidml2aUBxcS5jb20ifQ.a2ExtNVjGrY8T1gefcJTnk4JUOx9NVtCk6lMK8o47co",
  "user_id": 1,
  "username": "vivi"
}
响应结果有返回token,但是token要怎么用呢,不急,我们一步步来。假设现在有个项目列表的接口,在不登录的前提下,不能访问。
import requests
url = ‘http://127.0.0.1:8000/projects/‘
pro_res = requests.get(url)
print(pro_res.json())
响应结果:提供认证信息
{‘detail‘: ‘身份认证信息未提供。‘}
项目列表接口需要携带token,服务器校验成功后,才能成功返回信息
重点来了,如何从登录接口获取token,项目列表接口又如何携带token?
Python接口自动化之Token详解及应用
访问登录接口,并获取token。
import requests
url = ‘http://127.0.0.1:8000/user/login/‘
payload = {
    "username":"vivi",
    "password":"123456"
}
login_res = requests.post(url,json=payload)
# 从响应结果中获取token值
token = login_res.json()["token"]
print("token:", token)
响应结果为:
token: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6InZpdmkiLCJleHAiOjE1ODY4NTEyMjksImVtYWlsIjoidml2aUBxcS5jb20ifQ.neqVM5MFGuFbKIUOCqW_qXBajhTTQMfmAs2PWTkEMes
那项目列表接口又如何携带token呢,token直接加在请求头,这样就可以了么,当然不是,我们还需要在token前加上前缀,前缀由后端设置,见过最多的前缀是:Bearer,不清楚的参照接口文档。
项目列表携带token访问。
import requests
url = ‘http://127.0.0.1:8000/projects/‘
# 拼接最终的token,注意中间有个空格
token = "Bearer" + " " + token
headers={
    "authorization": token
}
pro_res = requests.get(url,headers=headers)
print(pro_res.json())
响应结果为:
{
    "count": 2,
    "results": [
        {
            "id": 1,
            "name": "自动化测试平台项目1",
            "tester": "vivi"
        },
        {
            "id": 2,
            "name": "自动化测试平台项目2",
            "tester": "coco"
        }
    ],
    "total_pages": 1,
    "current_page_num": 1
}
总结:本文主要介绍token基本概念、运行原理及在自动化中接口如何携带token进行访问。
下一篇:requests封装,比较重要,离最终的框架又进了一步。
更多系列文章,可以关注微信公众号:ITester软件测试小栈

Python接口自动化之Token详解及应用
 
  
 
  token  python  接口  session  
 
 
 
 
 
  huanghong  
 
 
  huanghong  
 
  0 关注   0 粉丝   0 动态  
 
 
   关注    关注   
 
 
 
 
 
 
 相关推荐 
  
 
 
  golang之JWT实现的示例代码  
 
 
 
   JSON Web Token是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。直白的讲jwt就是     
 
 
  xuanwenchao    2020-06-14  
 
  
 
 
  Django REST framework JWT  
 
 
 
     Json web token , 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准. 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于     
 
 
  Burgesszheng    2020-06-07  
 
  
 
 
  golang jwt+token验证的实现  
 
 
 
   Token验证是验证用户身份的重要方式,在golang开发中具有广泛应用,文中主要阐述了利用jwt包加密后的token验证。     
 
 
  qidiantianxia    2020-10-21  
 
  
 
 
  Vue axios获取token临时令牌封装案例  
 
 
 
   为什么非要写这个博客呢?因为这件事让我有一种蛋蛋的优疼。剩下的都别问,反正问我也不会说。因为流程图我都不想(懒得)画。关于token设计方案的初步设想是这样的:第一次进入的时候获取token,后端检查签名是否通过。不通过则弹框请从合法途径进入页面并且不消失     
 
 
  kiven    2020-09-11  
 
  
 
 
  AWS CodeArtifact 如何设置用户的 TOKEN  
 
 
 
   在你创建了 Repositories 之后,你会在界面中看到一个查看链接指南的选项。然后在界面中将会显示配置的选项。第一步就是配置 Token。如果你在 Windows 上直接拷贝上面的代码是没有办法运行的,因为上面的代码是针对 Linux 的。expor     
 
 
  wolfjin    2020-09-10  
 
  
 
 
  百度api mac地址提取  
 
 
 
   headers = {‘content-type‘: ‘application/x-www-form-urlencoded‘}     
 
 
  wyzxzws    2020-08-19  
 
  
 
 
  python使用pandas读取excel  
 
 
 
   # -*- coding: utf-8 -*-. import pandas as pd. from collections import defaultdict. import json. from pathlib import Path. DATA =     
 
 
  HMHYY    2020-06-28  
 
  
 
 
  flask 简单编写一个验证登录的案例  
 
 
 
   token = base64.b64encode(":".join([str(uid), str(random.random()), str(time.time() + 7200)])). if not users.get(_token     
 
 
  苦咖啡flask    2020-06-18  
 
  
 
 
  Java++:安全|API接口安全性设计  
 
 
 
   接口的安全性主要围绕 token、timestamp 和 sign 三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:。  用户使用用户名密码登录后服务器给客户端返回一个Token,并将Token-UserId以键值对的形式存放在缓存服务     
 
 
  playis    2020-06-16  
 
  
 
 
  详解Node.js使用token进行认证的简单示例  
 
 
 
   本文只介绍简单的应用,关于json web token的具体介绍以及原理请参考阮一峰老师的JSON Web Token 入门教程。static中存放静态资源,views存放前端模板,server.js为后端代码。在server.js中添加代码来创建一个简单     
 
 
  sqliang    2020-06-14  
 
  
 
 
  Postman 中设置全局变量,token  
 
 
 
   //获取data对象的access_token值。[ access_token 看自己实际场景 ]     
 
 
  pushTop    2020-06-12  
 
  
 
 
  jmeter获取token后设置为全局变量  
 
 
 
   我们在用jmeter测试接口的过程中,经常会碰到一些接口依赖登录的token,如果不把登录接口获取到的token设置为全局变量,那么就需要在每个线程组中放一个登录接口,实在是麻烦。     
 
 
  TesterJingel    2020-06-10  
 
  
 
 
  使用请求头认证来测试需要授权的 API 接口  
 
 
 
   实现原理其实挺简单的,就是实现了一种基于 header 的自定义认证模式,从 header 中获取用户信息并进行认证,核心代码如下:     
 
 
  RocketJ    2020-06-09  
 
  
 
 
  微信小程序之消息推送配置(token验证失败的解决方案)  
 
 
 
   微信官方对token校验的说明为:开发者通过检验signature对请求进行校验。若确认此次GET请求来自微信服务器,请原样返回echostr参数内容,则接入生效,成为开发者成功,否则接入失败。     
 
 
  powderhose    2020-06-08  
 
  
 
 
  OAuth + Security - 5 - Token存储升级(数据库、Redis)  
 
 
 
   在我们之前的文章中,我们当时获取到Token令牌时,此时的令牌时存储在内存中的,这样显然不利于我们程序的扩展,所以为了解决这个问题,官方给我们还提供了其它的方式来存储令牌,存储到数据库或者Redis中,下面我们就来看一看怎么实现。使用数据库存储方式之前,我     
 
 
  rongxionga    2020-06-08  
 
  
 
 
  OAuth2.0-3客户端授权放到数据库  
 
 
 
   client_id VARCHAR(128) PRIMARY KEY,resource_ids VARCHAR(128),client_secret VARCHAR(128),scope VARCHAR(128),authorities VARCHAR(1     
 
 
  huangyx    2020-05-29  
 
  
 
 
  整理token,session ,cookies   和正则表达式整理  
 
 
 
   尼码,学到和用到之间是 知道 和做到。问题问题问题,解决解决解决,运用运用运用。想问天问地问问我自己。[0-9]+匹配多个数字,[0-9]匹配单个数字,+匹配一个或者多个。abc$匹配字母abc并以abc结尾,$为匹配输入字符串的结束位置。     
 
 
  RuoShangM    2020-05-14  
 
  
 
 
  Api接口登录的鉴权方案  
 
 
 
   app登录就不能使用session,所以我们这里可以使用登录成功后要产生一个token值,以后用户每次访问app都要在header头带着这个token值,而这个token值需要一个过期时间。如果解密失败或者数据库中没有数据或者时间过期了让用户重新登陆。     
 
 
  数据库之扑朔迷离    2020-05-06  
 
  
 
 
  python数据结构之转后缀表达式计算(栈的应用)  
 
 
 
   此只支持十以内的计算,所以如果需要通用的话还需改进!!!     
 
 
  assastor    2020-05-04  
 
  
 
 
  Django 登录接口,返回token  
 
 
 
   完成login之后返回token的接口,包括生成token,form校验,连接redis,view逻辑。1,在该子项目下新建utils.py ,存放生成token的类。# 获取/解析token用到的模块。# 把settings中的一串字符串作为 secre     
 
 
  时光如瑾雨微凉    2020-05-01  
 
  
 
 
 
 
 
 
 
  huanghong  
 
 
  huanghong  
  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 W3CSchool教程 
 
 HTML 教程 
 
 CSS 教程 
 
 Bootstrap 教程 
 
 Javascript 教程 
 
 jQuery 教程 
 
 
 
 后端教程 
 
 C 教程 
 
 Java 教程 
 
 PHP 教程 
 
 Python 教程 
 
 Go 教程 
 
 
 
 移动开发 
 
 Android 教程 
 
 Swift 教程 
 
 Kotlin 教程 
 
 jQuery Mobile 教程 
 
 ionic 教程 
 
 
 
 关于我们 
 
 新闻动态 
 
 联系方式 
 
 招聘英才 
 
 安科实验室 
 
 帮助与反馈 
 
 
 
 
 
 安科网(Ancii),中国第一极客网 
 
     
  •   
    •  
  •   
    •  
 
 
 
 
 
  
 Copyright © 2013 - 2019 Ancii.com 
 
 京ICP备18063983号 京公网安备11010802014868号