前言

         废话不多说，就是姐姐我在最近的两个前后端分离的项目做接口测试，遇到了登录验证的问题，就是所谓的XSRF验证问题。现在提笔将配置方法总结到文中。

一、概念学习（ps：如果都知晓，可以跳过该步骤，直接去二章节，因为我也是copy的哈哈哈）

1.明确概念：cookie和session

①cookie数据存放在客户的浏览器上，session数据放在服务器上。

②cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。

③session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用cookie。

④单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

⑥所以将登录信息，个人账户资料等重要信息存放为session；其他不会泄露个人隐私的信息如果需要保留，可以放在cookie中。

2.Cookie

添加方式：线程组－配置元件－HTTP Cookie 管理器，如下图：

Cookie的传递流程：

1.浏览器向某个URL发起HTTP请求（可以是任何请求，比如GET一个页面、POST一个登录表单、DELETE某条评论、PUT某条更新等）

2.对应的服务器收到该HTTP请求，并计算应当返回给浏览器的HTTP响应（HTTP响应包括请求头和请求体两部分）

3.在响应头加入Set-Cookie字段，它的值是要设置的Cookie。

4.浏览器收到来自服务器的HTTP响应。

5.浏览器在响应头中发现Set-Cookie字段，就会将该字段的值保存在内存或者硬盘中（Set-Cookie字段的值可以是很多项Cookie，每一项都可以指定过期时间Expires。 默认的过期时间是用户关闭浏览器时。）

6.浏览器下次给该服务器发送HTTP请求时， 会将服务器设置的Cookie附加在HTTP请求的头字段Cookie中。（浏览器可以存储多个域名下的Cookie，但只发送当前请求的域名曾经指定的Cookie， 这个域名也可以在Set-Cookie字段中指定）。）

7.服务器收到这个HTTP请求，发现请求头中有Cookie字段， 便知道之前就和这个用户打过交道了.

8.过期的Cookie会被浏览器删除。

总之，服务器通过Set-Cookie响应头字段来指示浏览器保存Cookie， 浏览器通过Cookie请求头字段来告诉服务器之前的状态。 Cookie中包含若干个键值对，每个键值对可以设置过期时间。

3.Session

添加方式：线程组－前置处理器 －HTTP URL 重写修饰符，如下图:

session的传递流程：

1.用户提交包含用户名和密码的表单，发送HTTP请求。

2.服务器验证用户发来的用户名密码。

3.如果正确则把当前用户名（通常是用户对象）存储到redis中，并生成它在redis中的ID。这个ID称为Session ID，通过Session ID可以从Redis中取出对应的用户对象， 敏感数据（比如authed=true）都存储在这个用户对象中。

4.设置Cookie为sessionId=xxxxxx|checksum并发送HTTP响应， 仍然为每一项Cookie都设置签名。

5.用户收到HTTP响应后，便看不到任何敏感数据了。在此后的请求中发送该Cookie给服务器。

6.服务器收到此后的HTTP请求后，发现Cookie中有SessionID，进行放篡改验证。

7.如果通过了验证，根据该ID从Redis中取出对应的用户对象， 查看该对象的状态并继续执行业务逻辑。实现上述过程，在Web应用中可以直接获得当前用户。 相当于在HTTP协议之上，通过Cookie实现了持久的会话。这个会话便称为Session。

4.Token认证

1、支持跨域访问: Cookie是不允许垮域访问的，这一点对Token机制是不存在的，前提是传输的用户认证信息通过HTTP头传输。（垮域访问：两个域名之间不能跨过域名来发送请求或者请求数据）

2、无状态(也称：服务端可扩展行):Token机制在服务端不需要存储session信息，因为Token 自身包含了所有登录用户的信息，只需要在客户端的cookie或本地介质存储状态信息.

3、更适用CDN: 可以通过内容分发网络请求你服务端的所有资料（如：javascript，HTML,图片等），而你的服务端只要提供API即可.

4、去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成，只要在你的API被调用的时候，你可以进行Token生成调用即可.

5、更适用于移动应用: 当你的客户端是一个原生平台（iOS, Android，Windows 8等）时，Cookie是不被支持的（你需要通过Cookie容器进行处理），这时采用Token认证机制就会简单得多。

6、CSRF:因为不再依赖于Cookie，所以你就不需要考虑对CSRF（跨站请求伪造）的防范。

7、性能: 一次网络往返时间（通过数据库查询session信息）总比做一次HMACSHA256计算 的Token验证和解析要费时得多.

8、不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候，不再需要为登录页面做特殊处理.

9、基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.

使用Token的方法

不是在每一次请求时提供用户名和密码的凭证。我们可以让用户通过token交换凭证（we can allow the client to exchange valid credentials for a token)，这个token提供用户访问服务器的权限。Token通常比密码更加长而且复杂。比如说，JWTs通常会应对长达150个字符。一旦获得了token，在每次调用API的时候都要附加上它。然后，这仍然比直接发送账户和密码更加安全，哪怕是HTTPS。

把token想象成一个安全的护照。你在一个安全的前台验证你的身份（通过你的用户名和密码），如果你成功验证了自己，你就可以取得这个。当你走进大楼的时候（试图从调用API获取资源），你会被要求验证你的护照，而不是在前台重新验证。

获取一个Token我们需要做的第一件事就是让客户端通过他们的账号密码交换token。这里有2种可能的方法在RESTful API里面。第一种是使用POST请求来通过验证，使服务端发送带有token的响应。除此之外，你可以使用GET请求，这需要他们使用参数提供凭证（指URL），或者更好的使用请求头。

二、实战演练

xxx项目，后台语言-java，机制为cookie+session验证

测试计划构建步骤：

1.添加线程组

2.在线程组下添加HTTP Cookie 管理器

3.在线程组下HTTP请求默认值，在这里配置协议、IP、端口号

4.在线程组下添加全部请求的察看结果树

5.在线程组下添加HTTP请求1（可以用ID+接口名来重命名）

6.在HTTP请求1添加HTTP信息头管理器

7.在HTTP请求1添加当前请求的察看结果树

8.重复步骤5-7可以多添加几个接口

各步骤配置详情：

1.HTTP Cookie 管理器

①jmeter的bin目录下jmeter.properties的文件，开放这个：CookieManager.save.cookies=true

②抓包工具查看cookie命名，若命名为tt_sessionid，或者通过前台debug查看（我是通过debug看的）

③则在整个测试计划需要获取的cookie值为${COOKIE_tt_sessionid}，前面的COOKIE为jmeter命名规则

2.HTTP请求默认值

3.HTTP请求1

4.在HTTP请求1下的HTTP信息头管理器

配置好了，大胆地run run run，当你看到如下画面，证明你成功了！

xx项目，后台语言-python，机制为session验证

测试计划构建步骤（无HTTP Cookie 管理器）：

1.添加线程组

2.在线程组下HTTP请求默认值，在这里配置协议、IP、端口号

3.在线程组下添加全部请求的察看结果树

4.在线程组下添加HTTP请求1（可以用ID+接口名来重命名）

5.在HTTP请求1添加HTTP信息头管理器

6.在HTTP请求1添加当前请求的察看结果树

7.重复步骤4-6可以多添加几个接口

各步骤配置详情：

1.get/delete方法的HTTP信息头管理器

2.post/put方法的HTTP信息头管理器

异常错误：

1.jmeter报错“org.apache.http.NoHttpResponseException”

就是第一个通过，后面全失败，报错为：  org.apache.http.NoHttpResponseException: xxxxIP failed to respond

原因：在JMeter下，发送http 请求时，默认选择了use keepAlive（Keep-Alive通俗地讲，就是所谓的持久连接，对于http这种大量的短连接的服务来说，开启持久连接的好处可节省大量的TCP连接过程的开销，据apache的官方文档称对包含大量图片的HTML文档造成的延时起到50%的加速作用），这个是连接协议，JMeter坑就在这里，默认勾选了这个（如果不勾选的话，也不会保存），但其配置JMeter.properties中的时间设置默认却是注销的，不会等待，一旦连接空闲，则立即断开了，导致压测中出现了事务失败的情形。

可访问https://wiki.apache.org/jmeter/JMeterSocketClosed查看官网解释

解决方法：

①找到jmeter安装路径bin下的jmeter.properties，编辑，设置httpclient4.idletimeout=，注意单位是ms，设置成觉得合理的时间，一般可设置成10-60s（表示连接空闲10s后才会断开）。修改完成后再次压测，错误就没出现。

例：httpclient4.idletimeout=3000，意思是连接空闲3s才会断开

②去掉勾选 Use KeepAlive (日常在浏览器查看请求头也可看到KeepAlive)

再来run时，问题解决，我在这纠缠了好久，哇哇哇，是不是很开森。。。

2.服务器相应数据中文为乱码

看到这不认识的符号，是不是很懵逼，说好的中文名字呢？？？

别着急，都是字符集惹的祸

解决办法：

再来run，是不是中文名字回来了

至此，over！