本發明公開了一種接口安全測試自動化方法、設備及存儲介質，該方法包括以下步驟：獲取待測試系統的接口信息，所述接口信息包括至少一個接口和與至少一個接口中每個接口對應的統一資源標識符uri；確定每個接口的權限最小的最低訪問角色；為每個角色創建至少一個賬號信息，所述賬號信息包括賬號、與賬號對應的臨時令牌token和資源ID；采用賬號信息中錯誤的/過期的token調用接口以生成每個接口的認證用例；判斷uri是否包含有資源ID并根據每個接口的最低訪問角色、賬號信息生成每個接口的鑒權用例；運行認證用例和鑒權用例，生成測試報告。其可減小測試工作量，縮短測試周期，加快產品迭代流程。

技術領域

本發明屬于安全測試技術領域，具體地涉及一種接口安全測試自動化方法、設備及存儲介質。

背景技術

隨著計算機軟件行業的快速發展，為了應對快速變化的需求，縮短交付周期，許多公司都采用了敏捷開發模型。敏捷模型不斷的迭代需求，那么對于如何快速驗證接口安全？敏捷開發能讓公司快速交付產品，但如何保證交付產品的接口安全質量成為了團隊急需解決的問題。

當前階段，項目驗證RBAC權限系統的項目，都是通過測試人員編寫自動化用例來完成驗證。通常先由測試人員梳理所有接口信息，包括接口方法、接口uri、接口描述、接口最低訪問角色信息，再預制測試賬號、資源并根據測試方案編寫接口安全自動化用例。當接口數量較多達到幾百上千個接口時，編寫、維護接口安全自動化用例工作量非常大，嚴重影響了項目專項測試進度。

發明內容

為了解決現有接口測試工作量大的問題，本發明提供一種接口安全測試自動化方法、設備及存儲介質，其可減小測試工作量，縮短測試周期，加快產品迭代流程。

本發明通過以下技術方案實現：

本發明第一方面提供一種接口安全測試自動化方法，包括以下步驟：

獲取待測試系統的接口信息，所述接口信息包括至少一個接口和與至少一個接口中每個接口對應的統一資源標識符uri，所述uri中包含有資源ID或無資源ID；

確定每個接口的權限最小的最低訪問角色；

為每個角色創建至少一個賬號信息，所述賬號信息包括賬號、與賬號對應的臨時令牌 token和資源ID；

采用賬號信息中錯誤的/過期的token調用接口以生成每個接口的認證用例；

判斷uri是否包含有資源ID并根據每個接口的最低訪問角色、賬號信息生成每個接口的鑒權用例；

運行認證用例和鑒權用例，生成測試報告。

在一種可能的設計中，所述判斷uri是否包含有資源ID并根據每個接口的最低訪問角色、賬號信息生成每個接口的鑒權用例，包括：

判斷uri是否包含有資源ID，若uri不包含有資源ID，則生成縱向越權用例；

若uri包含有資源ID，則生成縱向越權用例和橫向越權用例。

在一種可能的設計中，所述若uri不包含有資源ID，則生成縱向越權用例，包括：

判斷該接口是否具有比最低訪問角色權限更低的角色；

響應于該接口具有比最低訪問角色權限更低的角色，依次采用比最低訪問角色權限更低的角色和與比最低訪問角色權限更低的角色對應的token調用接口，生成每個接口的鑒權用例。

在一種可能的設計中，所述若uri包含有資源ID，則生成縱向越權用例和橫向越權用例，包括：

采用一賬號的token和另一賬號的資源id調用接口，所述賬號均為當前接口的最低訪問角色，生成每個接口的鑒權用例；

判斷該接口是否具有比最低訪問角色權限更低的角色；