L’essai de charge est un type d’essai parmi les différents types de tests de performance qui détermine les performances du système en temps réel. Le rôle des API a beaucoup évolué au cours des dernières années. Lorsque les API n’étaient utilisées que pour des tâches telles que l’extraction de rapports, leur rendement n’a jamais été un facteur clé. Toutefois, les API se sont lentement orientées vers la voie critique entre un utilisateur final et les offres de la société de services, ce qui est très critique. Étant donné que de plus en plus d’organisations utilisent les API pour fournir leurs services, sa sécurité et son rendement sont devenus un facteur clé. Ici, nous allons discuter d’un mécanisme de sécurité API, qui est appelé OAuth 2.0, et comment pouvons-nous faire des tests de charge sur les API Web OAuth.

 

Qu’est-ce qu’OAuth?

OAuth est le protocole d’autorisation standard de l’industrie. OAuth met l’accent sur la simplicité client-développeur, tout en fournissant des flux d’autorisation spécifiques pour les applications Web, les applications de bureau, les téléphones mobiles, etc. Cette spécification et ses extensions sont en cours d’élaboration au sein du Groupe de travail de l’IETF OAuth. OAuth est couramment utilisé comme un moyen pour les utilisateurs d’Internet de se connecter à des sites Web tiers en utilisant leurs comptes Microsoft, Google, Facebook, Twitter, Slack, etc, sans exposer leur mot de passe.

OAuth 1.0 est soupçonné de failles de sécurité et a retiré son soutien. OAuth 2.0 est le dernier, avec des fonctionnalités de sécurité plus avancées. OAuth 2.0 permet aux utilisateurs de partager des données spécifiques avec une application, tout en gardant leurs noms d’utilisateur, mots de passe et autres informations privés. Par exemple, une application peut utiliser OAuth 2.0 pour obtenir l’autorisation des utilisateurs de stocker des fichiers. Selon le site OAuth , C’estcomme une clé de voiturier de voiture. Beaucoup de voitures de luxe aujourd’hui viennent avec une clé de voiturier. Il s’agit d’une clé spéciale que vous donnez à l’agent de stationnement et contrairement à votre clé régulière, ne permettra pas à la voiture de conduire plus d’un mile ou deux. Certaines clés de voiturier n’ouvriront pas le coffre, tandis que d’autres bloqueront l’accès à votre carnet d’adresses de téléphone cellulaire à bord. Quelles que soient les restrictions imposées par la clé de voiturier, l’idée est très intelligente. Vous donnez à quelqu’un un accès limité à votre voiture avec une clé spéciale tout en utilisant votre clé régulière pour tout débloquer.

 

Pourquoi les API Web OAuth Load Testing sont importantes

Quel que soit votre rôle au sein d’une organisation, au moins de temps en temps, vous auriez entendu parler d’une API. Qu’est-ce donc que l’API ? Une API signifie interface de programmation d’applications. Une API est un ensemble de règles et d’instructions pour communiquer avec une application lorsqu’un utilisateur accède à une application via Internet. Une demande peut être aussi simple que ceci :

GET: https://userauth.dotcom-monitor.com/login

Si vous pensez que les tests fonctionnels sont suffisants pour votre application et c’est ce que tous les clients se soucient, vous seriez incorrect. Que se passe-t-il si votre site web est en ligne avec une campagne de marketing et que des milliers de clients potentiels commencent à se connecter. Ce n’est qu’alors que vous vous rendez compte que vos clients rencontrent des erreurs pendant le processus de connexion. À partir de ce moment, vous perdez des affaires potentielles et l’image de votre organisation.

Pour éviter cette situation humiliante, les tests de charge appliquent le trafic que vous prévoyez voir en production, systématiquement sur vos serveurs d’applications, afin de déterminer comment l’application se comporte avant sa mise en ligne. Si vous avez implémenté OAuth, vous pouvez effectuer des tests de charge API en simulant plusieurs utilisateurs envoyant des demandes à votre serveur en même temps. Il existe différentes façons d’exécuter des tests de charge, mais les tests de charge API sont l’une des méthodes les plus faciles et les options les plus rentables. C’est parce qu’il est simple à scripter et il ya beaucoup d’outils open-source de l’industrie que vous pouvez utiliser pour générer et exécuter vos scripts.

Si vous n’êtes pas familier avec les tests API et comment fonctionne le test de charge, voici un bon article où vous pouvez acquérir des connaissances sur les tests API.

Une demande d’API dans LoadView peut être effectuée de deux façons : utiliser l’enregistreur Web EveryStep pour enregistrer un script ou une tâche HTTP. Vous pouvez enregistrer l’API à l’aide d’une application qui utilise l’API ou en utilisant la solution LoadView. En outre, il est très important que si votre application utilise une API tierce, vous devez charger le test de ces API ainsi pour s’assurer qu’ils adhèrent à vos exigences.

 

Flux/phases OAuth

Ici, nous allons expliquer le flux OAuth 2.0 à l’aide de la solution LoadView. LoadView est une plate-forme de test de charge à la demande qui rend possible des tests de charge réalistes sans un investissement initial dans l’infrastructure matérielle ou logicielle. L’application que nous allons charger le test est une application de santé utilisée par les médecins.

À partir de maintenant, nous appellera l’application cible « application santé ». L’application santé est hébergée dans Azure et ils ont utilisé les services Microsoft OAuth 2.0 pendant le processus de connexion, afin que les médecins puissent accéder et se connecter avec leur adresse e-mail de l’hôpital qui est déjà enregistrée. Fondamentalement, cette application fournira tous les détails sur les antécédents d’un patient.

Le flux OAuth 2.0 est spécifiquement pour l’autorisation de l’utilisateur. Il est conçu pour les applications qui peuvent stocker des informations confidentielles et maintenir l’état. Une application de serveur Web dûment autorisée peut accéder à une API pendant que l’utilisateur interagit avec l’application ou après que l’utilisateur a quitté l’application.

Voici le guide étape par étape qui affichera le flux OAuth 2.0, ainsi que les configurations LoadView correspondantes pour les tests de performance.

Il n’y a que deux actions dans le flux, mais cela dépend des développeurs ont besoin s’ils vont le faire avec plusieurs séquences de l’API. Une configuration et une complexité de l’API OAuth 2.0 changeront en fonction de la sécurité de l’application et des exigences du développeur. Ce n’est jamais un processus unique.

Il existe deux façons de charger le test OAuth 2.0 à l’aide de LoadView.

  1. Demandez aux développeurs la séquence de l’authentification OAuth d’API. C’est le plus simple et le plus simple. Autre utilisation vue charge
  2. Enregistrez-le à l’aide de l’outil de script EveryStep Web Recorder. Vous pouvez essayer l’enregistreur pour vous-même ici.

L’utilisation de l’enregistreur Web EveryStep est facile à utiliser et est plus efficace et efficiente, car nous n’avons pas besoin de dépendre des développeurs.

 

Processus 1. Processus de test de charge OAuth 2.0 avec l’enregistreur Web EveryStep

Étape 1. Accédez à l’enregistreur Web EveryStep.

OAuth enregistre un nouveau script

Étape 2. Entrez l’URL de votre application et sélectionnez Enregistrer maintenant.

OAuth record maintenant

 

Étape 3. Suivez le scénario de connexion de votre application.

Scénario de connexion OAuth

 

Étape 4. Vérifiez tous les détails de l’application.

OAuth vérifier les détails

 

Étape 5: C’est tout. Rejouez et assurez-vous que cela fonctionne. C’est simple, non ? Une fois l’enregistrement terminé, configurez-le sur la plate-forme LoadView et effectuez votre test de charge.

 

Processus 2. Utilisation de la séquence API OAuth 2.0 à l’aide de LoadView

Remarque : Deux mesures sont nécessaires pour terminer le processus OAuth 2.0.

Action 1. Obtenir le code d’autorisation

Action 2. Échangez le code d’authentification contre un jeton d’accès

Remarque : Vous devez demander des détails de demande de serveur API et des données corporelles à l’équipe de développement

Étape 1. Créez votre compte LoadView et rendez-vous sur le tableau de bord LoadView pour sélectionner le type D’API pour les tests.

OAuth crée un nouveau test de charge

Étape 2. Pour les démos, nous sélectionnons HTTP/S. Votre situation peut varier selon le type de service API.

Test OAuth HTTPS

 

Étape 3. Configurez votre demande d’API pour frapper le serveur API de l’application.

Dispositif de configuration OAuth

 

Étape 4. Le serveur API redirige vers la page de connexion en disant, pour accéder aux données: connexion avec Microsoft (fournisseur OAuth) pour accéder à la page. Vous pouvez voir OAuth 2 dans l’URL.

URL de connexion OAuth

Étape 5. L’utilisateur entre l’adresse e-mail et le mot de passe et clique sur login, entre son nom d’utilisateur et son mot de passe, puis permet l’accès à l’application. Auth serveur redirige l’utilisateur vers votre site Web avec un code comme paramètre dans l’URL.

Détails de l’URL de connexion OAuth

 

Étape 6. Le serveur API demande au serveur Auth des informations utilisateur pour le jeton d’accès donné. Auth serveur retourne les détails sur userid, e-mail, etc.

Informations utilisateur de connexion OAuth

 

Étape 7. Le serveur API identifie l’utilisateur et envoie la réponse avec un jeton d’accès. Le client envoie le jeton d’accès au serveur API dans la demande ci-dessous. Les contrôles du serveur API si le jeton d’accès est valide donnent accès à l’application.

Jetons d’accès à connexion OAuth

 

Résumé: Load Testing OAuth Web APIs

Corréler et configurer les demandes OAuth 2.0 n’est pas une tâche facile. Vous avez besoin d’expérience et d’une compréhension claire du fonctionnement d’OAuth pour votre application. Étant donné qu’OAuth permet des fonctionnalités très importantes de toute application, il est très important d’effectuer des tests de performance des API OAuth pour votre application. Si vous utilisez un autre outil open source, tel que JMeter, vous pouvez convertir les tests JMeter en LoadView. JMeter n’est pas une solution de test de performance comme LoadView, c’est juste un lanceur de charge. Nous avons besoin d’une bonne solution de test de performance comme LoadView pour effectuer des tests de performances de bout en bout.

En savoir plus sur LoadView et inscrivez-vous à l’essai gratuit. Vous recevrez 20 $ en crédits de test de charge pour commencer.