1 常见的鉴权方式

1.1 cookie鉴权

cookie是服务器产生的保存在客户端的一小段文本信息，字典格式。

1.当客户端第一次访问服务器的时候，服务器会生成cookie信息，并且在响应头的Set-cookie里面把生成的cookie信息发送给客户端，客户端进行存储。

2.当客户端后面再访问服务器的时候，客户端就会在请求头的cookie带上所保存的cookie信息，然后和服务器的cookie进行对比从而实现鉴权

当客户端登录服务器的时候，服务器生成sessionid并且保存到服务器的内存。然后再登录请求里面就会把sessionid通过cookie传输给客户端

后面所有的请求都会在请求头cookie里面带上sessionid，然后和服务器的sessionid进行对比从而实现鉴权。

sessionid默认生命周期是半小时每登录一次sessionid都会发生变化

用户量过大时会导致服务器崩溃，曾经有用过服务器集群、负载均衡等方式解决，但效果不理想

一般是登录之后自动生成token或者通过一个单独的接口生成token，然后保存在服务器的硬盘，一般是保存在数据库。

后续所有的请求必须带上token(请求头或者参数携带)，然后和服务器的token对比实现鉴权。

功能测试:

登录失效后观察系统的反应 session的功能测试

接口测试:

postman:自动化管理

jmeter:http cookie管理

自动化测试:

接口自动化：token鉴权、接口关联

接口自动化:requests.get(cookie=cookie)

接口自动化:requests.session()

web自动化:通过cookie实现万能验证码