[發(fā)明專利]一種接口安全測試自動化方法、設(shè)備及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202210736959.6 | 申請日: | 2022-06-27 |
| 公開(公告)號: | CN115061867A | 公開(公告)日: | 2022-09-16 |
| 發(fā)明(設(shè)計)人: | 趙凌園;黃少華;陸汪;楊振宇;劉濤 | 申請(專利權(quán))人: | 眉山環(huán)天智慧科技有限公司 |
| 主分類號: | G06F11/22 | 分類號: | G06F11/22;G06F21/85 |
| 代理公司: | 成都嘉企源知識產(chǎn)權(quán)代理有限公司 51246 | 代理人: | 田甜 |
| 地址: | 620564 四川省眉山市仁*** | 國省代碼: | 四川;51 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 接口 安全 測試 自動化 方法 設(shè)備 存儲 介質(zhì) | ||
1.一種接口安全測試自動化方法,其特征在于,包括以下步驟:
獲取待測試系統(tǒng)的接口信息,所述接口信息包括至少一個接口和與至少一個接口中每個接口對應(yīng)的統(tǒng)一資源標識符uri,所述uri中包含有資源ID或無資源ID;
確定每個接口的權(quán)限最小的最低訪問角色;
為每個角色創(chuàng)建至少一個賬號信息,所述賬號信息包括賬號、與賬號對應(yīng)的臨時令牌token和資源ID;
采用賬號信息中錯誤的/過期的token調(diào)用接口以生成每個接口的認證用例;
判斷uri是否包含有資源ID并根據(jù)每個接口的最低訪問角色、賬號信息生成每個接口的鑒權(quán)用例;
運行認證用例和鑒權(quán)用例,生成測試報告。
2.根據(jù)權(quán)利要求1所述的一種接口安全測試自動化方法,其特征在于,所述判斷uri是否包含有資源ID并根據(jù)每個接口的最低訪問角色、賬號信息生成每個接口的鑒權(quán)用例,包括:
判斷uri是否包含有資源ID,若uri不包含有資源ID,則生成縱向越權(quán)用例;
若uri包含有資源ID,則生成縱向越權(quán)用例和橫向越權(quán)用例。
3.根據(jù)權(quán)利要求2所述的一種接口安全測試自動化方法,其特征在于,所述若uri不包含有資源ID,則生成縱向越權(quán)用例,包括:
判斷該接口是否具有比最低訪問角色權(quán)限更低的角色;
響應(yīng)于該接口具有比最低訪問角色權(quán)限更低的角色,依次采用比最低訪問角色權(quán)限更低的角色和與比最低訪問角色權(quán)限更低的角色對應(yīng)的token調(diào)用接口,生成每個接口的鑒權(quán)用例。
4.根據(jù)權(quán)利要求2所述的一種接口安全測試自動化方法,其特征在于,所述若uri包含有資源ID,則生成縱向越權(quán)用例和橫向越權(quán)用例,包括:
采用一賬號的token和另一賬號的資源id調(diào)用接口,所述賬號對應(yīng)的角色均為當前接口的最低訪問角色,生成每個接口的鑒權(quán)用例;
判斷該接口是否具有比最低訪問角色權(quán)限更低的角色;
響應(yīng)于該接口具有比最低訪問角色權(quán)限更低的角色,依次采用比最低訪問角色權(quán)限更低的角色和與比最低訪問角色權(quán)限更低的角色對應(yīng)的token調(diào)用接口,生成每個接口的鑒權(quán)用例。
5.根據(jù)權(quán)利要求1所述的一種接口安全測試自動化方法,其特征在于,所述確定每個接口的權(quán)限最小的最低訪問角色,包括:
讀取待測試系統(tǒng)的源碼,確認每個接口訪問所需的權(quán)限;
調(diào)用系統(tǒng)角色權(quán)限查詢接口,找到每個角色包含的權(quán)限;
對每個接口遍歷所有角色權(quán)限,確定每個接口權(quán)限最小的最低訪問角色。
6.根據(jù)權(quán)利要求1所述的一種接口安全測試自動化方法,其特征在于,所述采用賬號信息中錯誤的/過期的token調(diào)用接口以生成每個接口的認證用例,包括:
采用jinja2創(chuàng)建認證用例模板,模板中使用賬號信息中錯誤的token或過期的token依次調(diào)用接口,校驗狀態(tài)碼是否為401,生成每個接口的認證用例。
7.一種接口安全測試自動化設(shè)備,其特征在于,包括接口信息確認單元、訪問角色確定單元、賬號信息創(chuàng)建單元、認證用例生成單元、鑒權(quán)用例生成單元和測試單元;
所述接口信息確認單元用于獲取待測試系統(tǒng)的接口信息,所述接口信息包括至少一個接口和與至少一個接口中每個接口對應(yīng)的統(tǒng)一資源標識符uri,所述uri中包含有資源ID或無資源ID;
所述訪問角色確定單元用于確定每個接口的權(quán)限最小的最低訪問角色;
所述賬號信息創(chuàng)建單元用于為每個角色創(chuàng)建至少一個賬號信息,所述賬號信息包括賬號、與賬號對應(yīng)的臨時令牌token和資源ID;
所述認證用例生成單元用于采用賬號信息中錯誤的/過期的token調(diào)用接口以生成每個接口的認證用例;
所述鑒權(quán)用例生成單元用于判斷uri是否包含有資源ID并根據(jù)每個接口的最低訪問角色、賬號信息生成每個接口的鑒權(quán)用例;
所述測試單元用于運行認證用例和鑒權(quán)用例,生成測試報告。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于眉山環(huán)天智慧科技有限公司,未經(jīng)眉山環(huán)天智慧科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210736959.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 自動化設(shè)備和自動化系統(tǒng)
- 一種基于流程驅(qū)動的測試自動化方法以及測試自動化系統(tǒng)
- 用于工業(yè)自動化設(shè)備認識的系統(tǒng)和方法
- 實現(xiàn)過程自動化服務(wù)的標準化設(shè)計方法學的自動化系統(tǒng)
- 一種日產(chǎn)50萬安時勻漿自動化系統(tǒng)
- 一種自動化肥料生產(chǎn)系統(tǒng)
- 一種電氣自動化設(shè)備自動檢測系統(tǒng)及檢測方法
- 用于自動化應(yīng)用的抽象層
- 一種基于虛擬化架構(gòu)的自動化系統(tǒng)功能驗證方法
- 自動化測試框架自動測試的實現(xiàn)技術(shù)
