Le test de charge est un type de test parmi les différents types de tests de performance qui détermine la performance du système dans des conditions de charge en temps réel. Le rôle des APIs a beaucoup évolué ces dernières années. Lorsque les APIs étaient uniquement utilisées pour des tâches telles que l’extraction de rapports, leurs performances n’étaient jamais un facteur clé. Cependant, les APIs se sont lentement déplacées vers le chemin critique entre un utilisateur final et le service offert par l’entreprise, ce qui est très critique. Puisque de plus en plus d’organisations utilisent des APIs pour fournir leurs services, leur sécurité et performance sont devenues des facteurs clés.
Mise à jour 2026 : Les APIs protégées par OAuth sont désormais centrales dans les architectures API-first et microservices. Les tests de charge doivent valider non seulement la performance de l’API, mais aussi les flux d’authentification, la génération de tokens et le comportement du fournisseur d’identité sous charge concurrente.
Nous allons ici discuter d’un mécanisme de sécurité API, appelé OAuth 2.0, et comment réaliser des tests de charge sur des APIs Web OAuth.
Qu’est-ce qu’OAuth ?
OAuth est le protocole standard de l’industrie pour l’autorisation. OAuth met l’accent sur la simplicité pour le développeur client, tout en fournissant des flux d’autorisation spécifiques pour les applications web, les applications de bureau, les téléphones mobiles, etc. Cette spécification et ses extensions sont développées au sein du IETF OAuth Working Group. OAuth est couramment utilisé comme moyen pour les utilisateurs d’Internet de se connecter à des sites tiers en utilisant leurs comptes Microsoft, Google, Facebook, Twitter, Slack, etc., sans exposer leur mot de passe.
OAuth 1.0 est soupçonné de failles de sécurité et son support a été retiré. OAuth 2.0 est la version la plus récente, avec des fonctions de sécurité plus avancées. OAuth 2.0 permet aux utilisateurs de partager des données spécifiques avec une application, tout en gardant leurs noms d’utilisateur, mots de passe et autres informations privées. Par exemple, une application peut utiliser OAuth 2.0 pour obtenir la permission des utilisateurs de stocker des fichiers. Selon le site OAuth, c’est comme une clé de voiturier. Beaucoup de voitures de luxe aujourd’hui sont équipées d’une clé de voiturier. C’est une clé spéciale que vous donnez au voiturier et contrairement à votre clé régulière, elle ne permet pas à la voiture de parcourir plus d’un ou deux kilomètres. Certaines clés de voiturier n’ouvrent pas le coffre, tandis que d’autres bloquent l’accès au carnet d’adresses du téléphone embarqué. Peu importe les restrictions imposées par la clé de voiturier, l’idée est très astucieuse. Vous donnez à quelqu’un un accès limité à votre voiture avec une clé spéciale tout en utilisant votre clé normale pour tout déverrouiller.
Pourquoi le test de charge des APIs Web OAuth est important
Quel que soit votre rôle dans une organisation, il vous est arrivé au moins une fois d’entendre parler d’une API. Alors, qu’est-ce qu’une API ? API signifie Interface de Programmation d’Application. Une API est un ensemble de règles et d’instructions sur la manière de communiquer avec une application lorsqu’un utilisateur accède à une application via Internet. Une requête peut être aussi simple que :
GET : https://userauth.dotcom-monitor.com/login
Si vous pensez que les tests fonctionnels suffisent pour votre application et que c’est tout ce qui importe pour les clients, vous auriez tort. Que se passe-t-il si votre site web est mis en ligne en même temps qu’une campagne marketing et que des milliers de clients potentiels commencent à se connecter ? C’est seulement à ce moment que vous réalisez que vos clients rencontrent des erreurs lors du processus de connexion. À partir de cet instant, vous perdez du potentiel commercial et l’image de votre organisation est atteinte.
Pour éviter cette situation humiliante, le test de charge applique le trafic que vous attendez en production, systématiquement à vos serveurs d’application, afin de déterminer comment l’application se comporte avant sa mise en production. Si vous avez implémenté OAuth, vous pouvez effectuer des tests de charge API en simulant plusieurs utilisateurs envoyant des requêtes à votre serveur en même temps. Il existe différentes manières d’exécuter des tests de charge, mais le test de charge API est l’une des méthodes les plus simples et les plus économiques. C’est parce qu’il est simple à scripter et qu’il existe beaucoup d’outils open source dans l’industrie que vous pouvez utiliser pour générer et exécuter vos scripts.
Si vous n’êtes pas familiarisé avec les tests d’API et le fonctionnement des tests de charge, voici un bon article où vous pouvez acquérir des connaissances sur les tests d’API.
Une requête API dans LoadView peut être réalisée de deux façons : en utilisant le EveryStep Web Recorder pour enregistrer un script ou une tâche HTTP. Vous pouvez enregistrer l’API en utilisant une application qui utilise l’API ou en utilisant la solution LoadView. Il est également très important que si votre application utilise une API tierce, vous devez également tester ces APIs pour vous assurer qu’elles répondent à vos exigences.
Flux/Phases OAuth
Nous allons expliquer ici le flux OAuth 2.0 à l’aide de la solution LoadView. LoadView est une plateforme de test de charge à la demande qui rend possibles des tests de charge réalistes sans investissement préalable dans le matériel ou les infrastructures logiciel. L’application que nous allons tester est une application santé utilisée par des médecins.
À partir de maintenant, nous appellerons cette application « application santé ». L’application santé est hébergée dans Azure et utilise les services Microsoft OAuth 2.0 lors du processus de login, ainsi les médecins peuvent accéder et se connecter avec leur adresse e-mail hospitalière déjà enregistrée. En gros, cette application fournit toutes les informations sur l’historique d’un patient.
Le flux OAuth 2.0 est spécifiquement destiné à l’autorisation utilisateur. Il est conçu pour des applications qui peuvent stocker des informations confidentielles et maintenir un état. Une application serveur web correctement autorisée peut accéder à une API pendant que l’utilisateur interagit avec l’application ou après que l’utilisateur a quitté l’application.
Voici le guide étape par étape qui montre le flux OAuth 2.0, avec les configurations LoadView correspondantes pour les tests de performance.
Il n’y a que deux actions dans le flux, mais cela dépend des besoins des développeurs s’ils souhaitent réaliser cela avec plusieurs séquences de l’API. La configuration et la complexité d’une API OAuth 2.0 changeront en fonction de la sécurité de l’application et des exigences du développeur. Ce n’est jamais un processus unique applicable à tous.
Il existe deux façons de tester la charge OAuth 2.0 avec LoadView.
- Demandez aux développeurs la séquence des APIs d’authentification OAuth. C’est la plus simple et directe. Sinon, utilisez LoadView.
- Enregistrez-la avec l’outil de script EveryStep Web Recorder. Vous pouvez essayer l’enregistreur vous-même ici.
Utiliser EveryStep Web Recorder est facile d’utilisation et plus efficace, car cela ne dépend pas des développeurs.
Processus 1. Processus de test de charge OAuth 2.0 avec EveryStep Web Recorder
Étape 1 : Accédez à EveryStep Web Recorder.
Étape 2 : Entrez l’URL de votre application et sélectionnez Record Now.
Étape 3 : Suivez le scénario de connexion de votre application.
Étape 4 : Vérifiez tous les détails de l’application.
Étape 5 : C’est tout. Rejouez et assurez-vous que cela fonctionne. Simple, non ? Une fois l’enregistrement terminé, configurez-le sur la plateforme LoadView et effectuez votre test de charge.
Processus 2. Utilisation de la séquence API OAuth 2.0 via LoadView
Note : Deux actions sont nécessaires pour compléter le processus OAuth 2.0.
Action 1 : Obtenir le code d’autorisation
Action 2 : Échanger le code d’authentification contre un token d’accès
Note : Vous devez demander aux développeurs les détails des requêtes et contenus API.
Étape 1 : Créez votre compte LoadView et accédez au tableau de bord LoadView pour sélectionner le type d’API à tester.
Étape 2 : Pour la démonstration, nous sélectionnons HTTP/S. Votre situation peut différer selon le type de service API.
Étape 3 : Configurez votre requête API pour atteindre le serveur API de l’application.
Étape 4 : Le serveur API redirige vers la page de connexion disant : pour accéder aux données : connectez-vous avec Microsoft (fournisseur OAuth) pour accéder à la page. Vous pouvez voir OAuth 2 dans l’URL.
Étape 5 : L’utilisateur entre son adresse e-mail et mot de passe, puis clique sur connexion, entre son nom d’utilisateur et mot de passe, puis autorise l’accès à l’application. Le serveur d’authentification redirige l’utilisateur vers votre site web avec un code en paramètre dans l’URL.
Étape 6 : Le serveur API demande au serveur d’authentification les informations utilisateur pour le token d’accès donné. Le serveur d’authentification renvoie les détails sur l’identifiant utilisateur, l’e-mail, etc.
Étape 7 : Le serveur API identifie l’utilisateur et envoie la réponse avec le token d’accès. Le client envoie le token d’accès au serveur API dans la requête ci-dessous. Le serveur API vérifie si le token d’accès est valide et donne l’accès à l’application.
Conclusion : Test de charge des APIs Web OAuth
Corréler et configurer les requêtes OAuth 2.0 n’est pas une tâche facile. Vous avez besoin d’expérience et d’une compréhension claire du fonctionnement d’OAuth pour votre application. Puisque OAuth active des fonctionnalités très importantes de toute application, il est très important d’effectuer des tests de performance des APIs OAuth pour votre application. Si vous utilisez un autre outil open source comme JMeter, vous pouvez convertir les tests JMeter en tests LoadView. JMeter n’est pas une solution de test de performance comme LoadView, c’est juste un outil de charge. Nous avons besoin d’une bonne solution de test de performance comme LoadView pour exécuter des tests de performance de bout en bout.
En savoir plus sur LoadView et inscrivez-vous pour l’essai gratuit. Vous recevrez jusqu’à 5 tests de charge gratuits pour commencer.