Las pruebas de carga son un tipo de prueba entre los diferentes tipos de pruebas de rendimiento que determinan el rendimiento del sistema en condiciones de carga en tiempo real. El papel de las APIs ha evolucionado mucho en los últimos años. Cuando las APIs solo se usaban para tareas como extraer informes, su rendimiento nunca fue un factor clave. Sin embargo, las APIs se han movido lentamente hacia la ruta crítica entre un usuario final y el servicio que la empresa ofrece, lo cual es muy crítico. Dado que cada vez más organizaciones usan APIs para proporcionar sus servicios, su seguridad y rendimiento se han convertido en un factor clave.
Actualización 2026: Las APIs protegidas por OAuth ahora son centrales para arquitecturas API-first y de microservicios. Las pruebas de carga deben validar no solo el rendimiento del API, sino también los flujos de autenticación, la generación de tokens y el comportamiento del proveedor de identidad bajo carga concurrente.
Aquí vamos a discutir un mecanismo de seguridad API, llamado OAuth 2.0, y cómo podemos realizar pruebas de carga en APIs web OAuth.
¿Qué es OAuth?
OAuth es el protocolo estándar de la industria para la autorización. OAuth se centra en la simplicidad para los desarrolladores clientes, mientras proporciona flujos específicos de autorización para aplicaciones web, aplicaciones de escritorio, teléfonos móviles, etc. Esta especificación y sus extensiones se están desarrollando dentro del Grupo de Trabajo OAuth de IETF. OAuth se usa comúnmente como un método para que los usuarios de Internet inicien sesión en sitios web de terceros usando sus cuentas de Microsoft, Google, Facebook, Twitter, Slack, etc., sin exponer su contraseña.
Se sospecha que OAuth 1.0 tiene fallas de seguridad y se retiró su soporte. OAuth 2.0 es la última versión, con características de seguridad más avanzadas. OAuth 2.0 permite a los usuarios compartir datos específicos con una aplicación, manteniendo sus nombres de usuario, contraseñas y otra información privada. Por ejemplo, una aplicación puede usar OAuth 2.0 para obtener el permiso de los usuarios para almacenar archivos. Según el sitio web de OAuth, es como una llave de valet para automóviles. Muchos autos de lujo hoy en día vienen con una llave valet. Es una llave especial que le entregas al estacionador y, a diferencia de tu llave normal, no permite que el auto se conduzca más de una o dos millas. Algunas llaves valet no abren la cajuela, mientras que otras bloquean el acceso a la agenda telefónica integrada. Sin importar las restricciones impuestas por la llave valet, la idea es muy inteligente. Le das a alguien acceso limitado a tu auto con una llave especial mientras usas tu llave normal para desbloquear todo.
Por qué es importante hacer pruebas de carga a APIs web OAuth
Sea cual sea tu rol en una organización, al menos una vez habrás escuchado sobre una API. ¿Entonces qué es una API? API significa Interfaz de Programación de Aplicaciones. Una API es un conjunto de reglas e instrucciones sobre cómo comunicarse con una aplicación cuando un usuario accede a una app a través de internet. Una solicitud podría ser tan simple como esta:
GET: https://userauth.dotcom-monitor.com/login
Si crees que las pruebas funcionales son suficientes para tu aplicación y que eso es lo que a todos los clientes les importa, estarías equivocado. ¿Qué pasa si tu sitio web sale en vivo junto con una campaña de marketing y miles de clientes potenciales empiezan a iniciar sesión? Solo entonces te das cuenta de que tus clientes están encontrando errores durante el proceso de inicio de sesión. Desde ese momento, estás perdiendo clientes potenciales y la imagen de tu organización.
Para evitar esta situación humillante, las pruebas de carga aplican el tráfico que esperas ver en producción, de manera sistemática a los servidores de tu aplicación, para determinar cómo se comporta la aplicación antes de que salga en vivo. Si has implementado OAuth, puedes realizar pruebas de carga de API simulando múltiples usuarios enviando solicitudes a tu servidor al mismo tiempo. Hay diferentes formas de ejecutar pruebas de carga, pero las pruebas de carga de API son uno de los métodos más fáciles y opciones más rentables. Esto es porque es simple escribir scripts y existen muchas herramientas de código abierto en la industria que puedes usar para generar y ejecutar tus scripts.
Si no estás familiarizado con las pruebas de API y cómo funcionan las pruebas de carga, aquí hay un buen artículo donde puedes aprender sobre las pruebas de API.
Una solicitud API en LoadView se puede hacer de dos maneras: usando EveryStep Web Recorder para grabar un script o una tarea HTTP. Puedes grabar la API usando una aplicación que use la API o usar la solución LoadView. Además, es muy importante que si tu aplicación usa una API de terceros, también necesitas hacer pruebas de carga a esas APIs para asegurarte de que se ajustan a tus requerimientos.
Flujo/Fases de OAuth
Aquí vamos a explicar el flujo OAuth 2.0 con la ayuda de la solución LoadView. LoadView es una plataforma de pruebas de carga bajo demanda que hace posible realizar pruebas de carga realistas sin invertir por adelantado en infraestructura de hardware o software. La aplicación que vamos a probar es una aplicación de salud usada por médicos.
A partir de aquí, nos referiremos a la aplicación objetivo como “aplicación de salud”. La aplicación de salud está alojada en Azure y utiliza los servicios Microsoft OAuth 2.0 durante el proceso de inicio de sesión, para que los médicos puedan acceder e iniciar sesión con su correo electrónico hospitalario ya registrado. Básicamente, esta aplicación proporciona todos los detalles sobre el historial de un paciente.
El flujo OAuth 2.0 es específicamente para la autorización del usuario. Está diseñado para aplicaciones que pueden almacenar información confidencial y mantener estado. Una aplicación web autorizada correctamente puede acceder a un API mientras el usuario interactúa con la aplicación o después de que el usuario haya salido de ella.
Aquí está la guía paso a paso que muestra el flujo OAuth 2.0, junto con las configuraciones correspondientes de LoadView para pruebas de rendimiento.
Solo hay dos acciones en el flujo, pero depende de la necesidad del desarrollador si lo hará con múltiples secuencias del API. La configuración y complejidad de un API OAuth 2.0 cambiará según la seguridad de la aplicación y los requerimientos del desarrollador. Nunca es un proceso único para todos.
Hay dos formas de probar carga en OAuth 2.0 usando LoadView.
- Solicitar a los desarrolladores la secuencia de APIs de autenticación OAuth. Esta es la forma más simple y directa. Sino usar LoadView
- Grabarlo usando la herramienta de scripting EveryStep Web Recorder. Puedes probar el grabador tú mismo aquí.
Usar EveryStep Web Recorder es fácil de usar y más efectivo y eficiente, ya que no necesitamos depender de los desarrolladores.
Proceso 1. Proceso de Pruebas de Carga OAuth 2.0 con EveryStep Web Recorder
Paso 1. Accede al EveryStep Web Recorder.
Paso 2. Ingresa la URL de tu aplicación y selecciona Grabar ahora.
Paso 3. Sigue el escenario de inicio de sesión de tu aplicación.
Paso 4. Verifica todos los detalles de la aplicación.
Paso 5: Eso es todo. Reproduce y asegúrate de que funciona. ¿Simple, verdad? Una vez que la grabación esté lista, configúrala en la plataforma LoadView y realiza tu prueba de carga.
Proceso 2. Usando secuencia API OAuth 2.0 con LoadView
Nota: Se requieren dos acciones para completar el proceso OAuth 2.0.
Acción 1. Obtener código de autorización
Acción 2. Intercambiar el código de autenticación por un token de acceso
Nota: Necesitas solicitar al equipo de Desarrollo los detalles de la solicitud al servidor API y datos del cuerpo.
Paso 1. Crea tu cuenta LoadView y ve al panel LoadView para seleccionar el tipo de API para pruebas.
Paso 2. Para fines de demostración, seleccionamos HTTP/S. Tu situación puede variar dependiendo del tipo de servicio API.
Paso 3. Configura tu solicitud API para alcanzar el servidor API de la aplicación.
Paso 4. El servidor API redirige a la página de inicio de sesión que indica, para acceder a los datos: inicia sesión con Microsoft (proveedor OAuth) para acceder a la página. Puedes ver OAuth 2 en la URL.
Paso 5. El usuario ingresa su correo electrónico y contraseña y hace clic en iniciar sesión, ingresa su nombre de usuario y contraseña, y luego permite el acceso a la aplicación. El servidor de autenticación redirige al usuario a tu sitio web con un código como parámetro en la URL.
Paso 6. El servidor API solicita al servidor de autenticación la información del usuario para el token de acceso dado. El servidor de autenticación devuelve detalles sobre userid, email, etc.
Paso 7. El servidor API identifica al usuario y envía la respuesta junto con el token de acceso. El cliente envía el token de acceso al servidor API en la solicitud siguiente. El servidor API verifica si el token de acceso es válido y da acceso a la aplicación.
Conclusión: Pruebas de Carga a APIs Web OAuth
Correlacionar y configurar solicitudes OAuth 2.0 no es una tarea fácil. Necesitas experiencia y un entendimiento claro de cómo funciona OAuth para tu aplicación. Dado que OAuth habilita una funcionalidad muy importante en cualquier aplicación, es muy importante realizar pruebas de rendimiento a las APIs OAuth de tu aplicación. Si usas alguna otra herramienta de código abierto, como JMeter, puedes convertir pruebas de JMeter a LoadView. JMeter no es una solución de prueba de rendimiento como LoadView, es solo un generador de carga. Necesitamos una buena solución de pruebas de rendimiento como LoadView para ejecutar pruebas de rendimiento de extremo a extremo.
Aprende más sobre LoadView y regístrate para la prueba gratuita. Recibirás hasta 5 pruebas de carga gratuitas para comenzar.