本公開提供一種后臺接口數據訪問安全測試方法和裝置。后臺接口數據訪問安全測試裝置根據每個后臺接口的訪問權限，配置不同權限與接口標識、請求參數、鑒權參數和測試斷言之間的映射關系；編寫測試用例集，針對每個測試用例獲取與對應后臺接口的權限相關聯的請求參數、鑒權參數和測試斷言之間的映射關系；針對每個測試用例，將對應的請求參數、鑒權參數發送給對應接口；獲取對應接口的返回值；利用對應的測試斷言對返回值進行比對處理；若比對結果一致，則確定對應測試用例通過測試。本公開通過對后臺接口進行數據訪問安全測試，能夠更好地為WEB應用的安全與質量保駕護航。

技術領域

本公開涉及安全領域，特別涉及一種后臺接口數據訪問安全測試方法和裝置。

背景技術

目前，基于WEB應用的數據訪問安全控制策略大多是基于前端頁面進行限制，通過不同用戶/角色的權限，來控制數據接口的訪問。其中在實施前，通常基于前端頁面的權限進行驗證測試，而并不會對前端調用的后臺接口進行權限相關測試。

發明內容

發明人通過研究發現，在相關技術中，前端調用的后臺接口往往沒有相應的數據訪問控制策略，如果用戶繞過前端頁面而直接調用后臺接口，則可輕而易舉地存取未經授權的數據。因此，對于WEB應用前端調用的后臺接口的數據訪問安全控制策略的測試顯得尤為重要。

據此，本公開提供一種后臺接口數據訪問安全測試方案，通過對后臺接口進行數據訪問安全測試，能夠更好地為WEB應用的安全與質量保駕護航。

根據本公開實施例的第一方面，提供一種后臺接口數據訪問安全測試方法，包括：根據每個后臺接口的訪問權限，配置不同權限與接口標識、請求參數、鑒權參數和測試斷言之間的映射關系；編寫測試用例集，針對每個測試用例獲取與對應后臺接口的權限相關聯的請求參數、鑒權參數和測試斷言之間的映射關系；針對每個測試用例，將對應的請求參數、鑒權參數發送給對應接口；獲取對應接口的返回值；利用對應的測試斷言對所述返回值進行比對處理；若比對結果一致，則確定對應測試用例通過測試。

在一些實施例中，若比對結果不一致，則報告測試用例失敗。

在一些實施例中，在未能獲取對應接口的返回值的情況下，則報告測試用例失敗。

在一些實施例中，若未能獲取與對應后臺接口的權限相關聯的請求參數、鑒權參數和測試斷言之間的映射關系，則告測試用例失敗。

根據本公開實施例的第二方面，提供一種后臺接口數據訪問安全測試裝置，包括：配置模塊，被配置為根據每個后臺接口的訪問權限，配置不同權限與接口標識、請求參數、鑒權參數和測試斷言之間的映射關系；測試用例編寫模塊，被配置為編寫測試用例集，針對每個測試用例獲取與對應后臺接口的權限相關聯的請求參數、鑒權參數和測試斷言之間的映射關系；發送模塊，被配置為針對每個測試用例，將對應的請求參數、鑒權參數發送給對應接口；獲取模塊，被配置為獲取對應接口的返回值；斷言處理模塊，被配置為利用對應的測試斷言對所述返回值進行比對處理；測試模塊，被配置為若比對結果一致，則確定對應測試用例通過測試。

在一些實施例中，測試模塊還被配置為若比對結果不一致，則報告測試用例失敗。

在一些實施例中，獲取模塊還被配置為在未能獲取對應接口的返回值的情況下，則報告測試用例失敗。

在一些實施例中，測試用例編寫模塊還被配置為若未能獲取與對應后臺接口的權限相關聯的請求參數、鑒權參數和測試斷言之間的映射關系，則告測試用例失敗。

根據本公開實施例的第三方面，提供一種后臺接口數據訪問安全測試裝置，包括：存儲器，被配置為存儲指令；處理器，耦合到存儲器，處理器被配置為基于存儲器存儲的指令執行實現如上述任一實施例所述的方法。

根據本公開實施例的第四方面，提供一種計算機可讀存儲介質，其中，計算機可讀存儲介質存儲有計算機指令，指令被處理器執行時實現如上述任一實施例涉及的方法。