2. 程式人生 > >利用Java編碼北京PK10平臺制作測試CSRF令牌驗證的Web API

利用Java編碼北京PK10平臺制作測試CSRF令牌驗證的Web API

阿新 發佈:2018-08-17
內容 use exception dir tac java 提問 我們 java編碼

拙文是利用了Jmeter來測試北京PK10平臺制作(www.1159880099.com)QQ1159880099 帶有CSRF令牌驗證的Web API;最近幾天趁著項目不忙,練習了用編碼的方式實現。

有了之前Jmeter腳本的基礎,基本上難點也就在兩個地方:獲取CSRF令牌、Cookie的傳遞。

首先添加依賴,在POM.xml中添加以下內容:

    <!-- https:// mvnrepository.com/artifact/org.apache.httpcomponents/httpclient -->
    <dependency>
        <groupId>org.apache.httpcomponents</groupId>
        <artifactId>httpclient</artifactId>
        <version>4.5.6</version>
    </dependency>

    <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup -->
    <dependency>
        <groupId>org.jsoup</groupId>
        <artifactId>jsoup</artifactId>
        <version>1.11.3</version>
    </dependency>

解釋作用:

  • httpClient:用來創建httpClient、管理Get和Post的方法、獲取請求報文頭、應答報文內容、管理CookieStore等等;

  • jsoup:用來解析應答報文,獲得CSRF令牌的值。

創建一個Web API測試類:

public class LoginEHR {

private final static String EHR_ADDRESS = "http://ourTestEHRServer:8083";

static BasicCookieStore cookieStore = new BasicCookieStore();
static CloseableHttpClient httpClient = HttpClients.custom().setDefaultCookieStore(cookieStore).build();


我選擇了CookieStore的方式管理會話;HttpClient現在還有另一種Context的方式實現會話持久,以後再做深入研究。

先寫一個打印應答報文的方法,並不做什麽處理,純打印;根據實際需要調用或者註釋:

public class LoginEHR {

private static void printResponse(HttpResponse httpResponse)

throws ParseException, IOException {
// 獲取響應消息實體
HttpEntity entity = httpResponse.getEntity();
// 響應狀態
System.out.println("--------Status: " + httpResponse.getStatusLine());

System.out.println("--------Headers: ");
HeaderIterator iterator = httpResponse.headerIterator();
while (iterator.hasNext()) {
System.out.println("\t" + iterator.next());
}
// 判斷響應實體是否為空
if (entity != null) {
String responseString = EntityUtils.toString(entity);
System.out.println("--------Response length: " + responseString.length());
System.out.println("--------Response content: "

  • responseString.replace("\r\n", ""));
    }
    }

    現在開始寫測試方法,雖然篇幅較長,仍然寫在main()方法裏,便於展示:

public class LoginEHR {

private final static String EHR_ADDRESS = "http://ourTestEHRServer:8083";

static BasicCookieStore cookieStore = new BasicCookieStore();
static CloseableHttpClient httpClient = HttpClients.custom().setDefaultCookieStore(cookieStore).build();

public static void main(String[] args) throws Exception {

    String username = "00022222";
    String password = "abc123456";

    HttpResponse httpResponse = null;

    try {
        HttpGet httpGet = new HttpGet(EHR_ADDRESS);
        httpResponse = httpClient.execute(httpGet);
        System.out.println("--------Cookie store for the 1st GET: " + cookieStore.getCookies());
        // 唯一的作用是打印應答報文,沒有任何處理;實際測試時,可以不執行

// printResponse(httpResponse);

        // 取出第一次請求時,服務器端返回的JSESSIONID;
        // 實際上此處只是取出JSESSIONID用作打印;cookieStore自動保存了本次會話的Cookie信息

// List cookies = cookieStore.getCookies();
// String cookie = cookies.toString();
// String sessionID = cookie.substring("[[version: 0][name: JSESSIONID][value: ".length(),
// cookie.indexOf("][domain"));
// System.out.println("--------The current JSESSIONID is: " + sessionID);

        httpClient.close();
    } catch (Exception ex) {
        ex.printStackTrace();
    }

}

private static void printResponse(HttpResponse httpResponse)
throws ParseException, IOException { ...... }

根據之前Jmeter測試腳本的經驗,先發送一次Get請求,從應答報文中得到CSRF令牌和JSESSIONID。

大家註意我註釋掉的那幾行打印JSESSIONID的代碼,之前在沒有引入CookieStore之前,我想的是自己寫一個新的Cookie,並把它賦給後面幾次請求。

當使用CookieStore之後,就不需要自己封裝Cookie、以及添加到Request的Header了,這過程會自動完成。沒有刪掉也是為了需要的時候打印。

交代完Cookie之後,該輪到處理CSRF令牌了。如果打印出第一次Get的應答,我們能看到令牌的格式是如下呈現的:

之前在Jmeter腳本中,我是添加了一個正則表達式提取器,把_csrf的content提取出來。

現在我將用jsoup來解析和返回content的內容,代碼如下:

private static String getCsrfToken(HttpEntity responseEntity) throws IOException{
//獲取網頁內容,指定編碼
String web = EntityUtils.toString(responseEntity,"utf-8");
Document doc= Jsoup.parse(web);
// 選擇器,選取特征信息
String token = doc.select("meta[name=_csrf]").get(0).attr("content");
System.out.println( "--------The current CSRF Token is: " + token);

    return token;
}

在main()中調用此方法:

        // 利用Jsoup從應答報文中讀取CSRF Token
        HttpEntity responseEntity = httpResponse.getEntity();

       String token = getCsrfToken(responseEntity);
然後再封裝POST的請求內容:

        // 獲取到CSRF Token後,用Post方式登錄
        HttpPost httpPost = new HttpPost(EHR_ADDRESS);

        // 拼接Post的消息體
        List<NameValuePair> nvps = new ArrayList<NameValuePair>();
        nvps.add(new BasicNameValuePair("username", username));
        nvps.add(new BasicNameValuePair("password", password));
        nvps.add(new BasicNameValuePair("_csrf", token));
        HttpEntity loginParams = new UrlEncodedFormEntity(nvps, "utf-8");
        httpPost.setEntity(loginParams);

        // 第二次請求,帶有CSRF Token
        httpResponse = httpClient.execute(httpPost);

// System.out.println("--------Cookie store for the POST: " + cookieStore.getCookies());
printResponse(httpResponse);
然後。。。這裏發生了一點小意外:

按照設想,應該能跳轉到登錄成功、或者驗證失敗的頁面;而Post方法執行後,從服務器返回的狀態碼是302,被跳轉到另一個網址。

如果放任不管,直接提交後面的業務查詢,是不會得到成功的;執行的結果是又回到了登錄頁面。

我在網上爬了一會,發現提問Post得到301、302的人還不在少數,說明這個坑還是給很多人造成了困擾。

簡單的說,如果得到了服務器重定向到新的地址,我們也要跟著執行一次新地址的訪問;否則服務器會認為這次請求沒有得到正確處理,即便我之後的請求帶著全套的驗證令牌和Cookie,也會被攔截在系統外。

有了這個認識,下面我需要完成的就是對Code:302的處理;添加代碼如下:

        // 取POST方法返回的HTTP狀態碼;不出意外的話是302
        int code = httpResponse.getStatusLine().getStatusCode();
        if (code == 302) {
            Header header = httpResponse.getFirstHeader("location"); // 跳轉的目標地址是在 HTTP-HEAD 中的
            String newUri = header.getValue(); // 這就是跳轉後的地址,再向這個地址發出新申請,以便得到跳轉後的信息是啥。
            // 實際打印出來的是接口服務地址,不包括IP Address部分
            System.out.println("--------Redirect to new location: " + newUri);
            httpGet = new HttpGet(EHR_ADDRESS + newUri);

            httpResponse = httpClient.execute(httpGet);

// printResponse(httpResponse);
}
這裏需要註意的地方是跳轉的location內容。在我這裏,服務器給的只是一個單詞【/work】,最好加一個打印的步驟。

確認不是一個完整的URL之後,需要把鏈接拼完整,然後進行一次httpGet請求。

這個httpGet執行之後,我可以確認已經登錄成功(或者,又被送回登錄頁面,當然我這裏是成功了)。

接下來是提交一次業務查詢的Get,確認能夠在系統中進行業務操作:

        // 請求一次績效;確認登錄成功
        String queryUrl = EHR_ADDRESS + "/emp/performance/mt/query";
        httpGet = new HttpGet(queryUrl);
        httpResponse = httpClient.execute(httpGet);
        System.out.println("--------Result of the Cardpunch Query: ");
        printResponse(httpResponse);

最後確認查詢的結果無誤後,整個腳本完成;只需要修改最後的業務查詢,就可以生成其他的測試腳本了。

完整的源碼如下:

package com.jason.apitest;

import org.apache.http.Header;
import org.apache.http.HeaderIterator;
import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.NameValuePair;
import org.apache.http.ParseException;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.impl.client.BasicCookieStore;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.message.BasicNameValuePair;
import org.apache.http.protocol.HTTP;
import org.apache.http.util.EntityUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class LoginEHR {

private final static String EHR_ADDRESS = "http://ourTestEHRServer:8083";

static BasicCookieStore cookieStore = new BasicCookieStore();
static CloseableHttpClient httpClient = HttpClients.custom().setDefaultCookieStore(cookieStore).build();

public static void main(String[] args) throws Exception {

    String username = "00022222";
    String password = "abc123456";

    HttpResponse httpResponse = null;

    try {
        HttpGet httpGet = new HttpGet(EHR_ADDRESS);
        httpResponse = httpClient.execute(httpGet);
        System.out.println("--------Cookie store for the 1st GET: " + cookieStore.getCookies());
        // 唯一的作用是打印應答報文,沒有任何處理;實際測試時,可以不執行

// printResponse(httpResponse);

        // 取出第一次請求時,服務器端返回的JSESSIONID;
        // 實際上此處只是取出JSESSIONID用作打印;cookieStore自動保存了本次會話的Cookie信息

// List cookies = cookieStore.getCookies();
// String cookie = cookies.toString();
// String sessionID = cookie.substring("[[version: 0][name: JSESSIONID][value: ".length(),
// cookie.indexOf("][domain"));
// System.out.println("--------The current JSESSIONID is: " + sessionID);

        // 利用Jsoup從應答報文中讀取CSRF Token
        HttpEntity responseEntity = httpResponse.getEntity();
        String token = getCsrfToken(responseEntity);

        // 獲取到CSRF Token後,用Post方式登錄
        HttpPost httpPost = new HttpPost(EHR_ADDRESS);

        // 拼接Post的消息體
        List<NameValuePair> nvps = new ArrayList<NameValuePair>();
        nvps.add(new BasicNameValuePair("username", username));
        nvps.add(new BasicNameValuePair("password", password));
        nvps.add(new BasicNameValuePair("_csrf", token));
        HttpEntity loginParams = new UrlEncodedFormEntity(nvps, "utf-8");
        httpPost.setEntity(loginParams);

        // 第二次請求,帶有CSRF Token
        httpResponse = httpClient.execute(httpPost);

// System.out.println("--------Cookie store for the POST: " + cookieStore.getCookies());
printResponse(httpResponse);

        // 取POST方法返回的HTTP狀態碼;不出意外的話是302
        int code = httpResponse.getStatusLine().getStatusCode();
        if (code == 302) {
            Header header = httpResponse.getFirstHeader("location"); // 跳轉的目標地址是在 HTTP-HEAD 中的
            String newUri = header.getValue(); // 這就是跳轉後的地址,再向這個地址發出新申請,以便得到跳轉後的信息是啥。
            // 實際打印出來的是接口服務地址,不包括IP Address部分
            System.out.println("--------Redirect to new location: " + newUri);
            httpGet = new HttpGet(EHR_ADDRESS + newUri);

            httpResponse = httpClient.execute(httpGet);

// printResponse(httpResponse);
}

        // 請求一次績效;確認登錄成功
        String queryUrl = EHR_ADDRESS + "/emp/performance/mt/query";
        httpGet = new HttpGet(queryUrl);
        httpResponse = httpClient.execute(httpGet);
        System.out.println("--------Result of the Cardpunch Query: ");
        printResponse(httpResponse);

        httpClient.close();
    } catch (Exception ex) {
        ex.printStackTrace();
    }

}

private static void printResponse(HttpResponse httpResponse)
        throws ParseException, IOException {
    // 獲取響應消息實體
    HttpEntity entity = httpResponse.getEntity();
    // 響應狀態
    System.out.println("--------Status: " + httpResponse.getStatusLine());
    System.out.println("--------Headers: ");
    HeaderIterator iterator = httpResponse.headerIterator();
    while (iterator.hasNext()) {
        System.out.println("\t" + iterator.next());
    }
    // 判斷響應實體是否為空
    if (entity != null) {
        String responseString = EntityUtils.toString(entity);
        System.out.println("--------Response length: " + responseString.length());
        System.out.println("--------Response content: "
                + responseString.replace("\r\n", ""));
    }
}

private static String getCsrfToken(HttpEntity responseEntity) throws IOException{
    //獲取網頁內容,指定編碼
    String web = EntityUtils.toString(responseEntity,"utf-8");
    Document doc= Jsoup.parse(web);
    // 選擇器,選取特征信息
    String token = doc.select("meta[name=_csrf]").get(0).attr("content");
    System.out.println( "--------The current CSRF Token is: " + token);

    return token;
}

}

利用Java編碼北京PK10平臺制作測試CSRF令牌驗證的Web API

相關推薦

利用Java編碼北京PK10平臺測試CSRF驗證Web API

內容 use exception dir tac java 提問 我們 java編碼 拙文是利用了Jmeter來測試北京PK10平臺制作(www.1159880099.com)QQ1159880099 帶有CSRF令牌驗證的Web API;最近幾天趁著項目不忙,練習了用編碼

一篇文章理解計算機最基本的運行原理(北京PK10平臺學C語言之前必懂)

制作 之間 指向 快速入門 減法 單元 並且 快速 保存 本文的主要說明對象是CPU和內存北京PK10平臺制作 QQ2952777280【話仙源碼論壇】http://hxforum.com 【木瓜源碼論壇】http://papayabbs.com 。為什麽學C語言之前必懂呢

利用Jmeter測試CSRF驗證Web API

修改 事務 希望 賬號 還需要 network 而在 backend rom 事情的起因是最近收到的一批測試需求,要測試公司HR系統的接口性能。這個是需要測試的接口列表: 所有的接口請求,都基於登錄驗證成功,否則將無法獲得正確的應答。 首先想到的是在瀏覽器上捕捉請求。打開

【微信公眾平臺開發】利用百度接口,一鍵導航功能

顯示 12px font -c cati blog ltr vertica 拾取 微信開發中,非常多商家用戶都要求點詳細地址。能在百度或者soso地圖上面顯示自己的地址。 而這種功能。利用百度api接口地圖標點功能就能夠非常easy實現。 1.功能說明例如以下:

簡單易用的參數校驗北京PK10平臺出租和版本校驗方式(java

else runtime boot java pri conf utils 短信 con 步驟是:配置數據校驗規則(多條)>>>>在控制器上添加校驗註解>>>>使用攔截器攔截校驗參數(獲取註解,初始化校驗規則(第一次),取出參

Java內部類北京PK10平臺出租的使用小結

依賴 修飾 ava face 賦值 類的靜態成員 結束 new 引用 為什麽要北京PK10平臺出租(www.1159880099.com)QQ1159880099 使用內部類:使用內部類最吸引人的原因是:每個內部類都能獨立地繼承一個(接口的)實現,所以無論外圍類是否已經繼承

棋牌平臺教程之php中的炸金花大小比較算法

算法 棋牌 PHP中紮金花比大小如何實現在棋牌遊戲中,不管是現實的還是線上的,炸金花無疑是最熱門棋牌遊戲之一,鄙人從小就酷愛炸金花,機緣巧合後面從事了IT行業,話不多說,直接進去正題吧。炸金花兩副牌的比較規則就不說了,註明一下是順子的時候 : JQK < A23 < QKA思路:炸金花下面

微信H5鬥地主平臺在Canvas畫布上畫文本的

canvas微信H5鬥地主平臺制作Q:2172243813必不可少的條件(h5.ttkmwl.com)在Canvas畫布上畫文本的var Labels = Class.create();$.extend(Labels.prototype, { initialize: function (cxt) {

html5六人九人三公棋牌平臺遊戲框架cnGameJS開發實錄

html5 三公 平臺制作 html5六人九人三公棋牌平臺制作h5.ttkmwl.com遊戲框架cnGameJS開發實錄1.cnGameJs框架的代碼組織   核心函數模塊,主要的作用是為之後的框架開發和用戶對遊戲的開發提供方便,整個框架在一個閉包之中,避免對全局作用域的汙染。之後每個不同的模塊分

h5棋牌平臺的js框架選擇

物理效果 google 獲得 con 音樂 androi 結果 ets 機制 h5棋牌平臺制作的js框架選擇(aqiulian.com/h5)本文主要選取了Construct2、ImactJS、LimeJS、GameMaker、CreateJS、lycheeJS、Craft

微信約戰六人牛牛平臺開發心得

值對象 框架 drive 創建 開源庫 ims mas 左移 設計 微信約戰六人牛牛平臺制作(aqiulian.com)更多咨詢我Q_212303635一個多人在線的棋牌類網絡遊戲的項目臨近尾聲,我參與了該項目的整個設計流程,並且完成了90%的核心代碼。關於這個項目,有很多

Java一個簡單的圖片驗證

err 一個 graphic opera login new pri buffer image //Java實現簡單驗證碼功能 package project; import java.awt.Color; import java.awt.Font;import java.

Android recycleView 的一北京PK10平臺出租些優化與相關問題

prot inflate 更多 額外 特性 contex grid protect apt 北京PK10平臺出租論壇:haozbbs.com Q1446595067 recycleView 也出來很長時間了,記錄一些自己見到的recycleView優化吧。 1.recyc

解決北京pk10平臺搭建負載均衡的session共享問題

mys 響應時間 最好的 因此 存在 設備 技術 pass sso 之前有寫過ubuntu環境下搭建北京pk10平臺搭建環境,今天來談一下nginx session共享問題,查了一些資料,看了一些別人寫的文檔,總結如下,實現nginx session的共享服務器有多臺,用n

從零開始學 Web 之 Ajax服務器相關概念OA現金盤平臺

臺電 如何 lamp ajax mysql 個人 客戶端 ipc httpd 一、服務器和客戶端服務器和客戶端都是電腦OA現金盤平臺制作 QQ2952777280【話仙源碼論壇】http://hxforum.com 【木瓜源碼論壇】http://papayabbs.com

Nginx服務器之負載均衡策略北京PK10平臺出租

同時 請求 1.3 最大 cal 平臺 負載均衡實例 基本 模塊 一、關於Nginx的負載均衡  在服務器集群中,Nginx起到一個代理服務器的角色北京PK10平臺出租QQ295-277-7280【話仙源碼論壇】hxforum.com(即反向代理),為了避免單獨一個服務器壓

Eureka 2.X 停止開發,但註冊中心OA信用盤平臺還有更多

實現 sdk object 廣域網 cap mic cti follow 們的 在上個月我們知道 Eureka 2.X 遇到困難停止OA信用盤平臺制作QQ2952777280【話仙源碼論壇】hxforum.com【木瓜源碼論壇】papayabbs.com開發了,但其實對國內

幸運新OA平臺三角形

三角形 bbs 來源 平臺 can std () -- 源碼論壇 描述話說有這麽一個圖形新OA平臺制作QQ2952777280【話仙源碼論壇】hxforum.com【木瓜源碼論壇】papayabbs.com,只有兩種符號組成(‘+’或者‘-’),圖形的最上層有n個符號,往下

Android 自定義OA平臺ListView單擊事件失效

rcc idt mes red left emc sde add XML 因為自帶新OA平臺制作QQ2952777280【話仙源碼論壇】hxforum.com【木瓜源碼論壇】papayabbs.com 的listView不能滿足項目需求,通過實現自己的Adapter去繼承A

數據分析與展示--圖像杏彩平臺的手繪效果(實例)

open radi 處理 圖像灰度 作用 邊界 forum 範圍 nump 圖像一般是使用RGB模式杏彩平臺制作QQ2952777280【話仙源碼論壇】hxforum.com【木瓜源碼論壇】papayabbs.com ,是一個三色數組 PIL庫 from PIL impor