讲师:刘老师
本期文字讲解
各位测试界小伙伴大家好,我是慧测的刘老师。
欢迎参加慧测2019年系列微课程活动。
本套课程主要分为两部分内容:
《每期一道名企面试题分析》
《每期5分钟测试开发小课堂》
目的是让大家利用好碎片化时间,每天积累一点技术。
今天是我们《每期一道名企面试题分析》微课程的第三期内容。
在这门系列课程的每一期,我都会带领大家分析一道近期一线互联网公司测试开发笔、面试题。让大家了解企业对技术的考察点,也帮助大家每期积累一个知识点。
我们继续上一期的问题:
请列举出你所知道的Http(s)接口的身份认证方式,并大致说明一下各自的优缺点。
解题分析:
3. OAuth2.0
这种认证方式你可以理解为移动APP中的方式2。
当用户首次访问是需要提供用户名、密码。服务端返回一个code。
携带这个code请求认证服务器,认证服务器会返回给你一个会过期的密钥,存储在客户端本地。
你全程都在和认证服务器沟通,从而保证了主服务端的安全性。
4. 数字签名认证
前两种方式,当请求被截取后用户身份的相关字段都可以被获取到。
如果在请求正文中添加一个参数sign,这个参数是头信息中的密钥加上请求体参数在某种算法的作用上生成的一个MD5字符串。
第一MD5是很难破解回原始值的,第二攻击者很难推算请求体参数和密钥的组合算法。
总的来说,服务器如果验证了密钥和MD5字符串全部正确,就说明身份正确且参数在传入过程中没有被篡改。
慧测老师寄语:
现在很多技术团队都选择Http/Restful接口类型,这种方式的好处是轻量且开发快捷,但安全性方面需要加入补充提升。
如果你在公司测试这类接口,就要注意接口的安全性尤其是用户身份认证的机制。
通过这种半开放性的问题,面试官可以大体掌握你在API测试方面的实际经验积累。
我在后续的公众号中会更新一篇关于 移动API安全问题的文章,里面会对无线端接口安全做更加详细地讲解。
如果你觉得我们的微课程还不错,
希望你能分享到朋友圈让更多的测试小伙伴看到。
我们下一期再见。
往期回顾:
每期一道名企面试题--001
- END -
性能测试28期
3月23日(周六)正式开班!
测试开发五期
3月23日(周六)正式开班!
自动化测试16期
3月23日(周六)正式开班!
欢迎加入我们:
慧测官网:www.huicewang.com
慧测Python群:324015481
公开课服务群:623636110
咨询QQ:2657535456
咨询微信号:huice66
慧测腾讯课堂 课程地址:
