Lasttests sind eine Art von Tests unter den verschiedenen Arten des Performancetestings, die die Leistung des Systems unter realen Lastbedingungen bestimmen. Die Rolle von APIs hat sich in den letzten Jahren stark entwickelt. Als APIs nur für Aufgaben wie das Extrahieren von Berichten verwendet wurden, war deren Leistung nie ein Schlüsselfaktor. APIs sind jedoch langsam zu einem kritischen Pfad zwischen dem Endnutzer und den vom Dienstleistungsunternehmen angebotenen Services geworden, was sehr wichtig ist. Da immer mehr Organisationen APIs zur Bereitstellung ihrer Dienste verwenden, sind deren Sicherheit und Leistung zu einem entscheidenden Faktor geworden.
Update 2026: OAuth-geschützte APIs sind jetzt zentral für API-first- und Microservices-Architekturen. Lasttests sollten nicht nur die API-Leistung validieren, sondern auch Authentifizierungsabläufe, Token-Erzeugung und das Verhalten des Identitätsanbieters unter gleichzeitiger Last.
Hier werden wir einen API-Sicherheitsmechanismus besprechen, der OAuth 2.0 heißt, und wie wir Lasttests für OAuth-Web-APIs durchführen können.
Was ist OAuth?
OAuth ist das branchenübliche Protokoll für Autorisierung. OAuth legt den Fokus auf Einfachheit für Client-Entwickler und bietet gleichzeitig spezifische Autorisierungsflows für Webanwendungen, Desktop-Anwendungen, Mobiltelefone usw. Diese Spezifikation und ihre Erweiterungen werden innerhalb der IETF OAuth Arbeitsgruppe entwickelt. OAuth wird häufig verwendet, damit Internetnutzer sich bei Drittanbieter-Webseiten mit ihren Microsoft-, Google-, Facebook-, Twitter-, Slack-Konten usw. anmelden können, ohne ihr Passwort preiszugeben.
OAuth 1.0 wird Sicherheitsmängeln verdächtigt und wird nicht mehr unterstützt. OAuth 2.0 ist die neueste Version mit fortschrittlicheren Sicherheitsfunktionen. OAuth 2.0 ermöglicht es Benutzern, spezifische Daten mit einer Anwendung zu teilen, während ihre Benutzernamen, Passwörter und andere Informationen privat bleiben. Beispielsweise kann eine Anwendung OAuth 2.0 verwenden, um die Erlaubnis von Nutzern zu erhalten, Dateien zu speichern. Laut der OAuth-Webseite ist es wie ein Autoschlüssel für den Parkservice. Viele Luxussportwagen heute verfügen über einen solchen Schlüssel. Dieser ist ein besonderer Schlüssel, den man dem Parkwächter gibt, und im Gegensatz zum regulären Schlüssel erlaubt er dem Auto nicht, weiter als eine oder zwei Meilen zu fahren. Einige Parkservice-Schlüssel öffnen nicht den Kofferraum, während andere den Zugriff auf das integrierte Telefonbuch blockieren. Unabhängig von den Einschränkungen ist die Idee sehr clever: Man gewährt jemandem begrenzten Zugang zum Auto mit einem speziellen Schlüssel, während man selbst mit dem regulären Schlüssel uneingeschränkten Zugang hat.
Warum Lasttests von OAuth-Web-APIs wichtig sind
Egal welche Rolle Sie in einer Organisation haben, mindestens einmal haben Sie von einer API gehört. Was ist also eine API? API steht für Application Programming Interface (Anwendungsprogrammierschnittstelle). Eine API ist eine Sammlung von Regeln und Anweisungen, wie man mit einer Anwendung kommuniziert, wenn ein Benutzer über das Internet auf eine App zugreift. Eine Anfrage könnte so einfach sein:
GET: https://userauth.dotcom-monitor.com/login
Wenn Sie denken, dass ein Funktionstest für Ihre Anwendung ausreichend ist und dass das alles ist, was Ihre Kunden interessiert, liegen Sie falsch. Was passiert, wenn Ihre Website parallel zu einer Marketingkampagne live geht und tausende potenzielle Kunden sich anzumelden beginnen? Dann stellen Sie erst fest, dass Ihre Kunden während des Anmeldevorgangs Fehler erleben. Ab diesem Moment verlieren Sie potenzielle Geschäfte und das Image Ihres Unternehmens.
Um diese demütigende Situation zu vermeiden, wendet man Lasttests mit dem erwarteten Traffic in der Produktionsumgebung systematisch auf die Anwendungsserver an, um zu bestimmen, wie sich die Anwendung vor dem Livegang verhält. Wenn Sie OAuth implementiert haben, können Sie API-Lasttests durchführen, indem Sie mehrere Benutzer simulieren, die gleichzeitig Anfragen an Ihren Server senden. Es gibt verschiedene Möglichkeiten, Lasttests durchzuführen, aber API- Lasttests sind eine der einfachsten und kosteneffektivsten Methoden. Das liegt daran, dass es einfach zu skripten ist und es viele Open-Source-Tools gibt, mit denen Sie Ihre Skripte erstellen und ausführen können.
Wenn Sie mit API-Tests und der Funktionsweise von Lasttests nicht vertraut sind, finden Sie hier einen guten Artikel, in dem Sie Wissen über API-Tests erwerben können.
Eine API-Anfrage in LoadView kann auf zwei Arten erfolgen: mit dem EveryStep Web Recorder, um ein Skript aufzuzeichnen, oder mit einer HTTP-Aufgabe. Sie können die API mit einer Anwendung aufzeichnen, die die API nutzt, oder mit der LoadView-Lösung. Außerdem ist es sehr wichtig, dass wenn Ihre Anwendung eine Drittanbieter-API verwendet, Sie diese APIs ebenfalls einem Lasttest unterziehen, um sicherzustellen, dass sie Ihre Anforderungen erfüllen.
OAuth Ablauf/Phasen
Hier erklären wir den OAuth 2.0 Ablauf mit Hilfe der LoadView Lösung. LoadView ist eine On-Demand-Lasttestplattform, die realistische Lasttests ohne anfängliche Investitionen in Hardware oder Software-Infrastruktur ermöglicht. Die Anwendung, die wir testen werden, ist eine Gesundheitsanwendung, die von Ärzten genutzt wird.
Ab jetzt nennen wir die Zielanwendung „Gesundheitsanwendung“. Die Gesundheitsanwendung ist in Azure gehostet und verwendet während des Anmeldeprozesses die Microsoft OAuth 2.0-Dienste, sodass die Ärzte sich mit ihrer bereits registrierten Krankenhaus-E-Mail-Adresse anmelden können. Im Grunde bietet diese Anwendung alle Informationen zur Krankengeschichte eines Patienten.
Der OAuth 2.0-Aufruf ist speziell für die Benutzerautorisierung konzipiert. Er ist für Anwendungen gedacht, die vertrauliche Informationen speichern und den Status beibehalten können. Eine ordnungsgemäß autorisierte Webserver-Anwendung kann auf eine API zugreifen, während der Benutzer mit der Anwendung interagiert oder nachdem er die Anwendung verlassen hat.
Hier ist die Schritt-für-Schritt-Anleitung, die den OAuth 2.0 Ablauf zeigt, zusammen mit den entsprechenden LoadView-Konfigurationen für Performancetests.
Im Ablauf gibt es nur zwei Aktionen, aber es hängt vom Bedarf der Entwickler ab, ob sie dies mit mehreren API-Sequenzen durchführen. Die Konfiguration und Komplexität einer OAuth 2.0 API ändert sich abhängig von Anwendungssicherheit und Entwickleranforderungen. Es ist nie ein Prozess, der für alle gleich ist.
Es gibt zwei Möglichkeiten, OAuth 2.0 mit LoadView zu lasttesten.
- Bitten Sie die Entwickler um die Sequenz der OAuth-Authentifizierungs-APIs. Dies ist am einfachsten und direktesten. Alternativ verwenden Sie LoadView.
- Zeichnen Sie es mit dem EveryStep Web Recorder Skripting-Tool auf. Sie können den Recorder hier selbst ausprobieren.
Die Nutzung des EveryStep Web Recorders ist einfach und effektiver, da man nicht auf Entwickler angewiesen ist.
Prozess 1. OAuth 2.0 Lasttestprozess mit dem EveryStep Web Recorder
Schritt 1. Greifen Sie auf den EveryStep Web Recorder zu.
Schritt 2. Geben Sie die URL Ihrer Anwendung ein und wählen Sie Jetzt Aufnehmen.
Schritt 3. Folgen Sie dem Anmeldeszenario Ihrer Anwendung.
Schritt 4. Überprüfen Sie alle Details der Anwendung.
Schritt 5: Das war’s. Spielen Sie es ab und stellen Sie sicher, dass alles funktioniert. Einfach, oder? Sobald die Aufnahme abgeschlossen ist, konfigurieren Sie sie auf der LoadView-Plattform und führen Ihren Lasttest durch.
Prozess 2. Verwendung der OAuth 2.0 API Sequenz mit LoadView
Hinweis: Es sind zwei Aktionen erforderlich, um den OAuth 2.0 Prozess abzuschließen.
Aktion 1. Holen Sie sich den Autorisierungscode
Aktion 2. Tauschen Sie den Authentifizierungscode gegen ein Zugriffstoken aus
Hinweis: Sie müssen Details zu API-Server-Anfragen und Body-Daten vom Entwicklungsteam anfordern
Schritt 1. Erstellen Sie Ihr LoadView-Konto und gehen Sie zum LoadView-Dashboard, um den API-Typ für den Test auszuwählen.
Schritt 2. Für Demo-Zwecke wählen wir HTTP/S. Ihre Situation kann je nach API- Service-Typ unterschiedlich sein.
Schritt 3. Konfigurieren Sie Ihre API-Anfrage, um den API-Server der Anwendung anzusprechen.
Schritt 4. Der API-Server leitet zur Login- Seite weiter mit der Nachricht, um auf die Daten zuzugreifen: Melden Sie sich mit Microsoft (OAuth-Anbieter) an, um auf die Seite zuzugreifen. Sie sehen OAuth 2 in der URL.
Schritt 5. Der Benutzer gibt die E-Mail-Adresse und das Passwort ein und klickt auf Anmelden, gibt seinen Benutzernamen und Passwort ein und erlaubt dann den Zugriff auf die Anwendung. Der Auth-Server leitet den Benutzer mit einem Code als Parameter in der URL zurück zu Ihrer Website.
Schritt 6. Der API-Server fragt den Auth-Server nach Benutzerinformationen für das angegebene Zugriffstoken. Der Auth-Server gibt Details wie Benutzer-ID, E-Mail usw. zurück.
Schritt 7. Der API-Server identifiziert den Benutzer und sendet die Antwort zusammen mit dem Zugriffstoken. Der Client sendet das Zugriffstoken in der folgenden Anfrage an den API-Server. Der API-Server prüft, ob das Zugriffstoken gültig ist, und gewährt den Zugang zur Anwendung.
Fazit: Lasttests von OAuth-Web-APIs
Das Korrelieren und Konfigurieren von OAuth 2.0-Anfragen ist keine leichte Aufgabe. Man benötigt Erfahrung und ein klares Verständnis davon, wie OAuth für Ihre Anwendung funktioniert. Da OAuth eine sehr wichtige Funktionalität jeder Anwendung ermöglicht, ist es sehr wichtig, Performancetests der OAuth APIs für Ihre Anwendung durchzuführen. Wenn Sie ein anderes Open-Source-Tool wie JMeter verwenden, können Sie JMeter-Tests in LoadView konvertieren. JMeter ist keine Performancetestlösung wie LoadView, es ist nur ein Lastgenerator. Wir benötigen eine gute Performancetestlösung wie LoadView, um einen End-to-End-Performancetest durchzuführen.
Erfahren Sie mehr über LoadView und registrieren Sie sich für die kostenlose Testversion. Sie erhalten bis zu 5 kostenlose Lasttests zum Start.