點(diǎn)擊鏈接加入QQ群 522720170(免費(fèi)公開(kāi)課躯喇、視頻應(yīng)有盡有):https://jq.qq.com/?_wv=1027&k=5C08ATe
繼http://www.xqtesting.com/blog/jmeter-cookies-354.html文章中介紹了Jmeter cookie manager的兩種常用使用情況:
同一線程組和不同線程組間傳遞cookie;
前些天在工作中又遇到了cookie的跨域使用問(wèn)題缀台,調(diào)試了好久才調(diào)好,查了很多資料,從cookie的實(shí)現(xiàn)原理到SSO單點(diǎn)登錄到SSO實(shí)現(xiàn)方式祷愉,再到session艰山、token湖雹,到OAuth認(rèn)證.....
原本想綜合起來(lái)寫(xiě)一篇詳細(xì)的文章,講一下這一塊知識(shí)整個(gè)的來(lái)龍去脈曙搬,但是修改了好幾次發(fā)現(xiàn)暫時(shí)還不能描述清楚每一個(gè)細(xì)節(jié)摔吏,所以糾結(jié)了好久鸽嫂、修修改改還是沒(méi)完成。
反思了一下征讲,是我太貪多了据某,太追求完美了,想把大量的知識(shí)點(diǎn)在一篇文章中講完诗箍,但是自己還沒(méi)有儲(chǔ)備足夠多的知識(shí)量哗脖,即使能長(zhǎng)篇大幅的寫(xiě)出來(lái),相信大家也不愿意看一篇臭長(zhǎng)臭長(zhǎng)的文章的扳还,所以凡事要慢慢來(lái)才避,一步一個(gè)腳印,循序漸進(jìn)氨距。
所以桑逝,今天先從最初遇到的問(wèn)題說(shuō)起,后面再逐步完善和擴(kuò)展俏让。
一楞遏、cookie跨域問(wèn)題背景
問(wèn)題是這樣的,在上一篇文章中提到了跨線程組傳遞cookie首昔,實(shí)現(xiàn)方法是:
調(diào)用JMeterUtils類(lèi)中setProperty和getProperty方法寡喝,
在生成cookie的線程組中把cookie保存在全局變量中,
然后在需要使用cookie的另一個(gè)線程組中取出全局變量的值勒奇,
從而實(shí)現(xiàn)了cookie的跨線程組傳遞预鬓。
但是
跨線程組就是跨域嗎?
到底什么是跨域傳遞呢赊颠?
怎么實(shí)現(xiàn)cookie的跨域傳遞呢格二?
其實(shí)實(shí)現(xiàn)方法跟上一篇是類(lèi)似的,只是有些細(xì)節(jié)涉及到很多方面竣蹦,非常容易踩坑.....
二顶猜、cookie機(jī)制
首先,我們要深入了解一下cookie機(jī)制痘括。
Cookie機(jī)制主要是為了彌補(bǔ)HTTP(1.0)協(xié)議無(wú)狀態(tài)特點(diǎn)的不足长窄。
1、HTTP協(xié)議特點(diǎn)
目前絕大部分的Web應(yīng)用都是基于HTTP(超文本傳輸協(xié)議)纲菌,它的特點(diǎn)是簡(jiǎn)單快速挠日、使用靈活、無(wú)連接驰后、無(wú)狀態(tài)肆资。
其中無(wú)狀態(tài)是指http協(xié)議對(duì)于事務(wù)處理沒(méi)有記憶能力,在數(shù)據(jù)交換完畢后灶芝,服務(wù)器端和客戶端的鏈接就會(huì)關(guān)閉郑原,每次交換數(shù)據(jù)都需要建立新的鏈接唉韭。
這意味著如果后續(xù)處理需要前面的信息,則它必須重傳犯犁,這樣可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大属愤,但是在服務(wù)器不需要先前信息的情況下它的應(yīng)答就較快。
但是在很多情況下我們希望用到前面請(qǐng)求的數(shù)據(jù)酸役,比如你登錄郵箱住诸,登錄一個(gè)頁(yè)面,我們經(jīng)常會(huì)在此時(shí)設(shè)置30天內(nèi)記住我涣澡,或者自動(dòng)登錄選項(xiàng)贱呐,那么這種情況下是怎么記錄信息的呢?
就是用cookie來(lái)保存入桂!
Cookie是由HTTP服務(wù)器設(shè)置的奄薇,保存在瀏覽器中,是在客戶端保持狀態(tài)的方案抗愁。
2馁蒂、Cookie的分類(lèi)
cookie分為會(huì)話cookie和持久cookie;
會(huì)話cookie:是指在不設(shè)定它的生命周期expires時(shí)的狀態(tài)蜘腌。
瀏覽器從開(kāi)啟到關(guān)閉就是一次會(huì)話沫屡,當(dāng)關(guān)閉瀏覽器時(shí),會(huì)話cookie就會(huì)跟隨瀏覽器而銷(xiāo)毀(當(dāng)關(guān)閉一個(gè)頁(yè)面時(shí)撮珠,不影響會(huì)話cookie的銷(xiāo)毀)沮脖。會(huì)話cookie就像我們沒(méi)有辦理會(huì)員卡去購(gòu)物,是一次單一的買(mǎi)賣(mài)過(guò)程劫瞳,離開(kāi)之后倘潜,信息則銷(xiāo)毀绷柒。
持久cookie:則是設(shè)定了它的生命周期expires志于,此時(shí),cookie像商品一樣废睦,有個(gè)保質(zhì)期伺绽,關(guān)閉瀏覽器之后,它不會(huì)銷(xiāo)毀嗜湃,直到設(shè)定的過(guò)期時(shí)間奈应。
對(duì)于持久cookie,可以在同一個(gè)瀏覽器中傳遞數(shù)據(jù)购披,比如杖挣,你在打開(kāi)一個(gè)淘寶頁(yè)面登陸后,再點(diǎn)開(kāi)一個(gè)商品頁(yè)面刚陡,還是登錄狀態(tài)惩妇,即便你關(guān)閉了瀏覽器株汉,再次開(kāi)啟瀏覽器,依然會(huì)是登錄狀態(tài)歌殃。這就是因?yàn)閏ookie自動(dòng)將數(shù)據(jù)傳送到服務(wù)器端乔妈,再反饋回來(lái)的結(jié)果。持久cookie就像是我們辦理了一張會(huì)員卡氓皱,即便離開(kāi)路召,信息一直保留,直到時(shí)間到期波材,信息銷(xiāo)毀股淡。
3、Cookie的安全性
Cookie中的數(shù)據(jù)通常會(huì)包含用戶的隱私數(shù)據(jù)廷区,所以為了保證數(shù)據(jù)的保密性揣非,通常需要對(duì)cookie內(nèi)容進(jìn)行加密。
加密方式一般使用對(duì)稱(chēng)加密(單密鑰躲因,如DES)或非對(duì)稱(chēng)加密(一對(duì)密鑰早敬,如RSA),而且密鑰需要保存在服務(wù)器端一個(gè)安全的地方大脉。
4搞监、Cookie的屬性
Cookie是由名稱(chēng)、內(nèi)容镰矿、作用路徑Path琐驴、作用域Domain、協(xié)議秤标、過(guò)期時(shí)間expires绝淡、secure(表示安全級(jí)別)、HttpOnly等屬性組成苍姜。
它一般是在web服務(wù)器的響應(yīng)頭中進(jìn)行設(shè)置牢酵,類(lèi)似如下所示:
服務(wù)器把cookie返回給客戶端后,通常以字符串的形式保存在瀏覽器中衙猪。
交互過(guò)程如下圖所示:
當(dāng)瀏覽器訪問(wèn)頁(yè)面1時(shí)馍乙,web服務(wù)器設(shè)置了一個(gè)cookie,并將這個(gè)cookie和頁(yè)面1一起返回給瀏覽器垫释,瀏覽器接到cookie之后丝格,就會(huì)保存起來(lái),在它訪問(wèn)頁(yè)面2的時(shí)候會(huì)把這個(gè)cookie也帶上棵譬,Web服務(wù)器接到請(qǐng)求時(shí)也能讀出cookie的值显蝌,根據(jù)cookie值的內(nèi)容就可以判斷和恢復(fù)一些用戶的信息狀態(tài)。
5订咸、Cookie的作用域(domain)
1)曼尊、Cookie的domain屬性未設(shè)置時(shí)扭屁,默認(rèn)情況下為當(dāng)前請(qǐng)求的域名
2)、Cookie作用域?yàn)楦讣?jí)域名時(shí)涩禀,所有子級(jí)域名都可以得到該cookie
比如:現(xiàn)在有兩個(gè)域名--web1.test.com料滥,web2.test.com,它們有共同父域test.com艾船,如果cookie的domain屬性設(shè)置為test.com葵腹,那么,web1.test.com和web2.test.com都可以訪問(wèn)該cookie屿岂。
這時(shí)有些朋友可能會(huì)想到那我把cookie作用域設(shè)置到頂級(jí)域名(.com践宴、.net)上,是不是用該頂級(jí)域名的網(wǎng)站就都能獲取該cookie了爷怀?
哈哈阻肩,這樣設(shè)置的cookie,瀏覽器是不存儲(chǔ)的运授,無(wú)效的~
3)烤惊、cookie不能跨二級(jí)域名訪問(wèn)
比如說(shuō):如果cookie的domain屬性設(shè)置為web1.test.com,那么web2.test.com就不能訪問(wèn)該cookie.
所以cookie是不能直接跨域名訪問(wèn)的S蹼柒室!
三、cookie跨域傳遞的具體實(shí)現(xiàn)
既然cookie不能直接跨域名訪問(wèn)逗宜,
那為什么前面還說(shuō)要實(shí)現(xiàn)cookie跨域名訪問(wèn)呢雄右?
其實(shí)我們經(jīng)常聽(tīng)說(shuō)到的cookie跨域名訪問(wèn)都不是直接訪問(wèn)的,都需要經(jīng)過(guò)中間處理的纺讲。
比如把web1的cookie保存下來(lái)擂仍,再在web2中取出來(lái)使用;
再比如讓web1.com和web2.com兩個(gè)不同的域名使用共同的認(rèn)證系統(tǒng)熬甚,把公共的cookie信息保存在同一認(rèn)證系統(tǒng)中逢渔,目前淘寶(www.taobao.com)和天貓(www.tmall.com)就是使用的這種方式;
再比如......
那么在jmeter中到底如何實(shí)現(xiàn)cookie跨域訪問(wèn)呢则涯?
總體思路是使用剛才所說(shuō)的第一種方法:“把web1的cookie保存下來(lái)复局,再在web2中取出來(lái)使用”。
四粟判、業(yè)務(wù)場(chǎng)景:
登錄后進(jìn)行查詢用戶信息,
需要在登錄線程組中獲取cookie并保存峦剔,
然后在查詢用戶信息線程組中取出cookie并攜帶cookie發(fā)送請(qǐng)求档礁。
實(shí)現(xiàn)步驟:
1、在登錄線程組中添加一個(gè)cookie manager吝沫,使jmeter自動(dòng)保存cookie信息呻澜;
然后執(zhí)行腳本递礼,并在結(jié)果樹(shù)中查看登錄請(qǐng)求的response headers中的cookies,此處我只以其中一個(gè)名稱(chēng)為token的cookie為例來(lái)講羹幸。
注意:此處生成的cookie的domain是xxxx.com脊髓,那么后面是否要設(shè)置成一樣的domain呢?先往下看.....
2栅受、在登錄線程組中添加一個(gè)beanshell后置處理器将硝,在其中添加如下腳本:
setProperty(proname,provalue):
該方法是把某個(gè)字符串保存在全局變量中(全局變量的作用域是整個(gè)測(cè)試計(jì)劃),其中第一個(gè)參數(shù)是全局變量的名字屏镊,第二個(gè)參數(shù)是全局變量的值依疼。
當(dāng)有多個(gè)cookie值時(shí),寫(xiě)多行setProperty方法即可而芥,此處僅以一個(gè)cookie為例律罢。
3、在另一個(gè)需要使用cookie的線程組中添加一個(gè)cookie manager和一個(gè)beanshell前置處理器棍丐,并分別進(jìn)行如下設(shè)置:
getProperty(“proname”):
該方法是獲取指定名稱(chēng)的全局變量的值误辑,其中的參數(shù)是全局變量的名稱(chēng);
vars.put(“proname”,”provalue”):
該方法是把指定字符串存入局部變量中(作用域是當(dāng)前線程組)歌逢,第一個(gè)參數(shù)是變量的名稱(chēng)稀余,第二個(gè)參數(shù)是變量的值。
log.info()方法是為了輔助調(diào)試腳本而打印的日志趋翻。
下面看cookie manager的設(shè)置:
Implementaion:指cookie的實(shí)現(xiàn)方式睛琳,jmeter3.0開(kāi)始默認(rèn)是HC4CookieHandler。
Cookie Policy:cookie策略踏烙,從jmeter3.0開(kāi)始默認(rèn)是standard师骗,具體是跟服務(wù)器端的實(shí)現(xiàn)方式有關(guān)的,各公司可能不一樣讨惩,我試用了其它的幾個(gè)選項(xiàng)都獲取不到cookie辟癌,只有netscape才能獲取到。所以當(dāng)你獲取cookie有問(wèn)題時(shí)荐捻,也可以檢查一下這個(gè)選項(xiàng)黍少。
存儲(chǔ)在cookie管理器中的cookie:在這里可以添加用戶自定義的cookie,并且會(huì)被作用域內(nèi)的所有線程共享处面。
這里的名稱(chēng)要跟前面在結(jié)果樹(shù)中看到的cookie的名稱(chēng)一? ? 致厂置,值就是我們剛才保存在局部變量中的值。
其中域的值是要跟當(dāng)前線程組內(nèi)的域名一樣魂角,不一定跟之前保存的cookie的域一樣哦昵济,我這個(gè)線程組中使用的是IP,沒(méi)用域名所以這里不填,就會(huì)默認(rèn)成當(dāng)前IP了访忿,填上域值反而不對(duì)了瞧栗。
所以如果你這里的域和路徑不知道怎么填時(shí),可以直接置空海铆,jmeter會(huì)默認(rèn)設(shè)置在當(dāng)前請(qǐng)求的域名下迹恐。
前面提到的跨域,其實(shí)關(guān)鍵點(diǎn)就在于這里的域值的設(shè)置卧斟。
如果設(shè)置成跟前面生成cookie的域值一樣殴边,那么就只是跨線程組而不跨域;
如果這里的域值設(shè)置成跟前面生成cookie的域值不一樣唆涝,那么就是跨線程組且跨域找都。
安全:如果是http請(qǐng)求,此處不要勾選廊酣;如果是https請(qǐng)求能耻,要勾選。
好了亡驰,腳本都設(shè)置好了晓猛,下面執(zhí)行腳本,就可以在結(jié)果樹(shù)中看到cookie可以跨線程組且跨域傳遞了
五凡辱、其它跨域?qū)崿F(xiàn)方式
其它實(shí)現(xiàn)方式:
上面使用的通過(guò)全局變量+在cookie manager手動(dòng)添加cookie的方式相對(duì)是最簡(jiǎn)單的方法戒职,當(dāng)然還有其它方法,比如:
1透乾、把cookie保存在文件中洪燥,而不是全局變量中:
同樣是在beanshell中寫(xiě)腳本保存到文件,再讀取文件乳乌。
2捧韵、在beanshell中手動(dòng)添加cookie到cookie manager,而不是通過(guò)配置元件添加:
類(lèi)似下面的腳本:
可根據(jù)自己需要選擇使用哪種方式汉操。
