Что такое OAuth?
OAuth является отраслевым стандартным протоколом для авторизации. OAuth фокусируется на простоте клиента и разработчика, обеспечивая при этом конкретные потоки авторизации для веб-приложений, настольных приложений, мобильных телефонов и т.д. Эта спецификация и ее расширения разрабатываются в рамках Рабочей группы IETF OAuth. OAuth обычно используется как способ для интернет-пользователей, чтобы войти в сторонние веб-сайты, используя свои Microsoft, Google, Facebook, Twitter, Slack счета и т.д., не подвергая их пароль.
OAuth 1.0 подозревается в недостатках безопасности и отозвал свою поддержку. OAuth 2.0 является последним, с более продвинутыми функциями безопасности. OAuth 2.0 позволяет пользователям обмениваться определенными данными с приложением, сохраняя при этом свои имена пользователей, пароли и другую информацию в тайне. Например, приложение может использовать OAuth 2.0 для получения разрешения от пользователей на хранение файлов. Согласно веб-сайту OAuth,Это как ключ парковки автомобиля. Многие роскошные автомобили сегодня приходят с ключом от камердинер. Это специальный ключ, который вы даете парковщику и в отличие от вашего обычного ключа, не позволит машине проехать больше мили или двух. Некоторые клавиши парковки не откроют багажник, в то время как другие заблокирует доступ к вашей адресной книге сотового телефона. Независимо от того, какие ограничения вводит клавиша камердинер, идея очень умная. Вы даете кому-то ограниченный доступ к вашему автомобиле со специальным ключом при использовании вашего обычного ключа, чтобы разблокировать все.
Почему тестирование загрузки API OAuth Web важно
Если бы ни была ваша роль в организации, по крайней мере время от времени вы слышали бы об API. Так что же такое API? API означает интерфейс программирования приложений. API — это набор правил и инструкций по общению с приложением, когда пользователь получает доступ к приложению через Интернет. Запрос может быть таким же простым, как это:
GET: https://userauth.dotcom-monitor.com/login
Если вы считаете, что функционального тестирования достаточно для приложения, и это то, что волнует всех клиентов, вы были бы неправы. Что делать, если ваш сайт идет жить в сочетании с маркетинговой кампанией и тысячи потенциальных клиентов начинают войти в систему. Только тогда вы поймете, что ваши клиенты сталкиваются с ошибками во время процесса входа. С этого момента вы теряете потенциальный бизнес и имидж вашей организации.
Чтобы избежать этой унизительной ситуации, нагрузочное тестирование систематически применяет трафик , который вы ожидаете увидеть в рабочей среде, к серверам приложений, чтобы определить, как приложение ведет себя перед запуском. Если вы внедрили OAuth, вы можете провести тестирование загрузки API, имитируя несколько пользователей, отправляюющих запросы на ваш сервер одновременно. Существуют различные способы выполнения нагрузочных тестов, но нагрузочное тестирование API является одним из самых простых и экономичных вариантов. Это потому, что это простой сценарий и Есть много отраслевых инструментов с открытым исходным кодом, которые можно использовать для создания и выполнения скриптов.
Если вы не знакомы с тестированием API и с тем, как работает нагрузочное тестирование, вот хорошая статья, где вы можете получить некоторые знания о тестировании API.
Запрос API в LoadView может быть выполнен двумя способами: с помощью веб-регистратора EveryStep для записи скрипта или задачи HTTP. Вы можете записывать API с помощью приложения, используя API или используя решение LoadView. Кроме того, очень важно, чтобы, если ваше приложение использует сторонний API, необходимо загрузить эти API, чтобы убедиться, что они соответствуют вашим требованиям.
OAuth Поток/Фазы
Здесь мы объясним поток OAuth 2.0 с помощью решения LoadView. LoadView — это платформа нагрузочного тестирования по требованию, которая делает возможным реалистичное нагрузочное тестирование без предварительных инвестиций в аппаратную или программную инфраструктуру. Приложение, которое мы собираемся загрузить тест является приложение здоровья, используемое врачами.
С этого далее мы будем называть целевое приложение “приложением здоровья”. Приложение для здоровья размещено в Azure , и они использовали службы Microsoft OAuth 2.0 во время процесса входа, поэтому врачи могут получить доступ и войти в систему со своим адресом электронной почты больницы, который уже зарегистрирован. В основном, это приложение предоставит все подробности об истории пациента.
OAuth 2.0 поток специально для авторизации пользователей. Он предназначен для приложений, которые могут хранить конфиденциальную информацию и поддерживать состояние. Правильно авторизованное приложение веб-сервера может получить доступ к API во время взаимодействия пользователя с приложением или после того, как пользователь покинул приложение.
Ниже приведено пошаговое руководство, которое покажет поток OAuth 2.0 вместе с соответствующими конфигурациями LoadView для тестирования производительности.
В потоке всего два действия, но это зависит от того, нужно ли разработчикам делать это с помощью нескольких последовательностей API. Конфигурация и сложность API OAuth 2.0 изменятся в зависимости от безопасности приложения и требования разработчика. Это никогда не универсальный процесс.
Существует два способа загрузки теста OAuth 2.0 с помощью LoadView.
- Запрос разработчиков для последовательности OAuth аутентификации API. Это самый простой и прямой вперед. В остальном используйте представление нагрузки
- Запикайте его с помощью скриптов EveryStep Web Recorder. Вы можете попробовать рекордер для себя здесь.
Использование веб-регистратора EveryStep просто в использовании и является более эффективным и эффективным, так как нам не нужно зависеть от разработчиков.
Процесс 1. OAuth 2.0 Процесс тестирования нагрузки с everyStep веб-регистратор
Шаг 1. Доступ к EveryStep веб-регистратор .
Шаг 2. Введите URL-адрес приложения и выберите Запись сейчас.
Шаг 3. Следуйте сценарию входа в приложение.
Шаг 4. Прояви все детали приложения.
Шаг 5: Вот и все. Повторите и убедитесь, что он работает. Просто не так ли? Как только запись будет сделана, настройте ее на платформе LoadView и выполните тест нагрузки.
Процесс 2. Использование последовательности API OAuth 2.0 с помощью LoadView
Примечание: Для завершения процесса OAuth 2.0 требуется два действия.
Действие 1. Получить код авторизации
Действие 2. Обмен кода проверки подлинности на токен доступа
Примечание: Вам необходимо запросить данные о запросе сервера API и сведения о данных тела от команды разработчиков
Шаг 1. Создайте учетную запись LoadView и перейдите на панель мониторинга LoadView для выбора типа API для тестирования.
Шаг 2. Для демонстрации мы выбираем HTTP/S. Ваша ситуация может отличаться в зависимости от типа службы API.
Шаг 3. Настройте запрос API, чтобы попасть на сервер API приложения.
Шаг 4. Сервер API перенаправляет на страницу входа, говоря, чтобы получить доступ к данным: войдите с помощью Microsoft (поставщик OAuth) для доступа к странице. Вы можете увидеть OAuth 2 в URL.
Шаг 5. Пользователь вводит адрес электронной почты и пароль и нажимает на логин, вводит свое имя пользователя и пароль, а затем позволяет получить доступ к приложению. Сервер Auth перенаправляет пользователя на ваш сайт с кодом в качестве параметра в URL.
Шаг 6. Сервер API запрашивает у сервера Auth информацию о пользователе для данного токена доступа. Auth сервер возвращает подробную информацию об userid, электронной почте и т.д.
Шаг 7. Сервер API идентифицирует пользователя и отправляет ответ вместе с токеном доступа. Клиент отправляет токен доступа на сервер API в приведенном ниже запросе. Сервер API проверяет, действительно ли токен доступа дает доступ к приложению.
Итог: Тестирование загрузки API OAuth Web
Корреляция и настройка запросов OAuth 2.0 не является легкой задачей. Вам нужен опыт и четкое понимание того, как OAuth работает для вашего приложения. Поскольку OAuth обеспечивает очень важную функциональность любого приложения, очень важно провести тестирование API OAuth для вашего приложения. Если вы используете любой другой инструмент с открытым исходным кодом, например JMeter, вы можете преобразовать тесты JMeter в LoadView. JMeter не является решением для тестирования производительности, как LoadView, это просто метатель нагрузки. Нам нужно хорошее решение для тестирования производительности, как LoadView для выполнения все-таки тестирования производительности.
Узнайте больше о LoadView и подпишитесь на бесплатную пробную версию. Вы получите до 5 бесплатных нагрузочных тестов для начала.