利用Java编码测试CSRF令牌验证的Web API

简介: 前一篇拙文是利用了Jmeter来测试带有CSRF令牌验证的Web API;最近几天趁着项目不忙,练习了用编码的方式实现。有了之前Jmeter脚本的基础,基本上难点也就在两个地方:获取CSRF令牌、Cookie的传递。

前一篇拙文是利用了Jmeter来测试带有CSRF令牌验证的Web API;最近几天趁着项目不忙,练习了用编码的方式实现。

有了之前Jmeter脚本的基础,基本上难点也就在两个地方:获取CSRF令牌、Cookie的传递。

首先添加依赖,在POM.xml中添加以下内容:

        <!-- https://mvnrepository.com/artifact/org.apache.httpcomponents/httpclient -->
        <dependency>
            <groupId>org.apache.httpcomponents</groupId>
            <artifactId>httpclient</artifactId>
            <version>4.5.6</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup -->
        <dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.11.3</version>
        </dependency>

解释作用:

 - httpClient:用来创建httpClient、管理Get和Post的方法、获取请求报文头、应答报文内容、管理CookieStore等等;

 - jsoup:用来解析应答报文,获得CSRF令牌的值。

 

创建一个Web API测试类:

public class LoginEHR {

    private final static String EHR_ADDRESS = "http://ourTestEHRServer:8083";

    static BasicCookieStore cookieStore = new BasicCookieStore();
    static CloseableHttpClient httpClient = HttpClients.custom().setDefaultCookieStore(cookieStore).build();


}

我选择了CookieStore的方式管理会话;HttpClient现在还有另一种Context的方式实现会话持久,以后再做深入研究。

先写一个打印应答报文的方法,并不做什么处理,纯打印;根据实际需要调用或者注释:

public class LoginEHR {

private static void printResponse(HttpResponse httpResponse)
throws ParseException, IOException {
        // 获取响应消息实体
        HttpEntity entity = httpResponse.getEntity();
        // 响应状态
        System.out.println("--------Status: " + httpResponse.getStatusLine());
        System.out.println("--------Headers: ");
        HeaderIterator iterator = httpResponse.headerIterator();
        while (iterator.hasNext()) {
            System.out.println("\t" + iterator.next());
        }
        // 判断响应实体是否为空
        if (entity != null) {
            String responseString = EntityUtils.toString(entity);
            System.out.println("--------Response length: " + responseString.length());
            System.out.println("--------Response content: "
                    + responseString.replace("\r\n", ""));
        }
    }

 现在开始写测试方法,虽然篇幅较长,仍然写在main()方法里,便于展示:

public class LoginEHR {

    private final static String EHR_ADDRESS = "http://ourTestEHRServer:8083";

    static BasicCookieStore cookieStore = new BasicCookieStore();
    static CloseableHttpClient httpClient = HttpClients.custom().setDefaultCookieStore(cookieStore).build();

    public static void main(String[] args) throws Exception {

        String username = "00022222";
        String password = "abc123456";

        CloseableHttpResponse httpResponse = null;

        try {
            HttpGet httpGet = new HttpGet(EHR_ADDRESS);
            httpResponse = httpClient.execute(httpGet);
            System.out.println("--------Cookie store for the 1st GET: " + cookieStore.getCookies());
            // 唯一的作用是打印应答报文,没有任何处理;实际测试时,可以不执行
//            printResponse(httpResponse);

            // 取出第一次请求时,服务器端返回的JSESSIONID;
            // 实际上此处只是取出JSESSIONID用作打印;cookieStore自动保存了本次会话的Cookie信息
//            List cookies = cookieStore.getCookies();
//            String cookie = cookies.toString();
//            String sessionID = cookie.substring("[[version: 0][name: JSESSIONID][value: ".length(),
//                    cookie.indexOf("][domain"));
//            System.out.println("--------The current JSESSIONID is: " + sessionID);




httpClient.close(); }
catch (Exception ex) { ex.printStackTrace(); } }

private static void printResponse(HttpResponse httpResponse)
throws ParseException, IOException { ...... }

根据之前Jmeter测试脚本的经验,先发送一次Get请求,从应答报文中得到CSRF令牌和JSESSIONID。

大家注意我注释掉的那几行打印JSESSIONID的代码,之前在没有引入CookieStore之前,我想的是自己写一个新的Cookie,并把它赋给后面几次请求。

当使用CookieStore之后,就不需要自己封装Cookie、以及添加到Request的Header了,这过程会自动完成。没有删掉也是为了需要的时候打印。

 

交代完Cookie之后,该轮到处理CSRF令牌了。如果打印出第一次Get的应答,我们能看到令牌的格式是如下呈现的:

之前在Jmeter脚本中,我是添加了一个正则表达式提取器,把_csrf的content提取出来。

现在我将用jsoup来解析和返回content的内容,代码如下:

private static String getCsrfToken(HttpEntity responseEntity) throws IOException{
        //获取网页内容,指定编码
        String web = EntityUtils.toString(responseEntity,"utf-8");
        Document doc= Jsoup.parse(web);
        // 选择器,选取特征信息
        String token = doc.select("meta[name=_csrf]").get(0).attr("content");
        System.out.println( "--------The current CSRF Token is: " + token);

        return token;
    }

在main()中调用此方法:

            // 利用Jsoup从应答报文中读取CSRF Token
HttpEntity responseEntity = httpResponse.getEntity();
       String token = getCsrfToken(responseEntity);

然后再封装POST的请求内容:

            // 获取到CSRF Token后,用Post方式登录
            HttpPost httpPost = new HttpPost(EHR_ADDRESS);

            // 拼接Post的消息体
            List<NameValuePair> nvps = new ArrayList<NameValuePair>();
            nvps.add(new BasicNameValuePair("username", username));
            nvps.add(new BasicNameValuePair("password", password));
            nvps.add(new BasicNameValuePair("_csrf", token));
            HttpEntity loginParams = new UrlEncodedFormEntity(nvps, "utf-8");
            httpPost.setEntity(loginParams);

            // 第二次请求,带有CSRF Token
            httpResponse = httpClient.execute(httpPost);
//            System.out.println("--------Cookie store for the POST: " + cookieStore.getCookies());
            printResponse(httpResponse);

然后。。。这里发生了一点小意外:

按照设想,应该能跳转到登录成功、或者验证失败的页面;而Post方法执行后,从服务器返回的状态码是302,被跳转到另一个网址。

如果放任不管,直接提交后面的业务查询,是不会得到成功的;执行的结果是又回到了登录页面。

我在网上爬了一会,发现提问Post得到301、302的人还不在少数,说明这个坑还是给很多人造成了困扰。

简单的说,如果得到了服务器重定向到新的地址,我们也要跟着执行一次新地址的访问;否则服务器会认为这次请求没有得到正确处理,即便我之后的请求带着全套的验证令牌和Cookie,也会被拦截在系统外。

有了这个认识,下面我需要完成的就是对Code:302的处理;添加代码如下:

            // 取POST方法返回的HTTP状态码;不出意外的话是302
            int code = httpResponse.getStatusLine().getStatusCode();
            if (code == 302) {
                Header header = httpResponse.getFirstHeader("location"); // 跳转的目标地址是在 HTTP-HEAD 中的
                String newUri = header.getValue(); // 这就是跳转后的地址,再向这个地址发出新申请,以便得到跳转后的信息是啥。
                // 实际打印出来的是接口服务地址,不包括IP Address部分
                System.out.println("--------Redirect to new location: " + newUri);
                httpGet = new HttpGet(EHR_ADDRESS + newUri);

                httpResponse = httpClient.execute(httpGet);
//                printResponse(httpResponse);
            }

这里需要注意的地方是跳转的location内容。在我这里,服务器给的只是一个单词【/work】,最好加一个打印的步骤。

确认不是一个完整的URL之后,需要把链接拼完整,然后进行一次httpGet请求。

这个httpGet执行之后,我可以确认已经登录成功(或者,又被送回登录页面,当然我这里是成功了)。

 

接下来是提交一次业务查询的Get,确认能够在系统中进行业务操作:

            // 请求一次绩效;确认登录成功
            String queryUrl = EHR_ADDRESS + "/emp/performance/mt/query";
            httpGet = new HttpGet(queryUrl);
            httpResponse = httpClient.execute(httpGet);
            System.out.println("--------Result of the Cardpunch Query: ");
            printResponse(httpResponse);

最后确认查询的结果无误后,整个脚本完成;只需要修改最后的业务查询,就可以生成其他的测试脚本了。

 

完整的源码如下:

package com.jason.apitest;

import org.apache.http.Header;
import org.apache.http.HeaderIterator;
import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.NameValuePair;
import org.apache.http.ParseException;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.impl.client.BasicCookieStore;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.message.BasicNameValuePair;
import org.apache.http.protocol.HTTP;
import org.apache.http.util.EntityUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class LoginEHR {

    private final static String EHR_ADDRESS = "http://ourTestEHRServer:8083";

    static BasicCookieStore cookieStore = new BasicCookieStore();
    static CloseableHttpClient httpClient = HttpClients.custom().setDefaultCookieStore(cookieStore).build();

    public static void main(String[] args) throws Exception {

        String username = "00022222";
        String password = "abc123456";

        HttpResponse httpResponse = null;

        try {
            HttpGet httpGet = new HttpGet(EHR_ADDRESS);
            httpResponse = httpClient.execute(httpGet);
            System.out.println("--------Cookie store for the 1st GET: " + cookieStore.getCookies());
            // 唯一的作用是打印应答报文,没有任何处理;实际测试时,可以不执行
//            printResponse(httpResponse);

            // 取出第一次请求时,服务器端返回的JSESSIONID;
            // 实际上此处只是取出JSESSIONID用作打印;cookieStore自动保存了本次会话的Cookie信息
//            List cookies = cookieStore.getCookies();
//            String cookie = cookies.toString();
//            String sessionID = cookie.substring("[[version: 0][name: JSESSIONID][value: ".length(),
//                    cookie.indexOf("][domain"));
//            System.out.println("--------The current JSESSIONID is: " + sessionID);

            // 利用Jsoup从应答报文中读取CSRF Token
            HttpEntity responseEntity = httpResponse.getEntity();
            String token = getCsrfToken(responseEntity);

            // 获取到CSRF Token后,用Post方式登录
            HttpPost httpPost = new HttpPost(EHR_ADDRESS);

            // 拼接Post的消息体
            List<NameValuePair> nvps = new ArrayList<NameValuePair>();
            nvps.add(new BasicNameValuePair("username", username));
            nvps.add(new BasicNameValuePair("password", password));
            nvps.add(new BasicNameValuePair("_csrf", token));
            HttpEntity loginParams = new UrlEncodedFormEntity(nvps, "utf-8");
            httpPost.setEntity(loginParams);

            // 第二次请求,带有CSRF Token
            httpResponse = httpClient.execute(httpPost);
//            System.out.println("--------Cookie store for the POST: " + cookieStore.getCookies());
            printResponse(httpResponse);

            // 取POST方法返回的HTTP状态码;不出意外的话是302
            int code = httpResponse.getStatusLine().getStatusCode();
            if (code == 302) {
                Header header = httpResponse.getFirstHeader("location"); // 跳转的目标地址是在 HTTP-HEAD 中的
                String newUri = header.getValue(); // 这就是跳转后的地址,再向这个地址发出新申请,以便得到跳转后的信息是啥。
                // 实际打印出来的是接口服务地址,不包括IP Address部分
                System.out.println("--------Redirect to new location: " + newUri);
                httpGet = new HttpGet(EHR_ADDRESS + newUri);

                httpResponse = httpClient.execute(httpGet);
//                printResponse(httpResponse);
            }


            // 请求一次绩效;确认登录成功
            String queryUrl = EHR_ADDRESS + "/emp/performance/mt/query";
            httpGet = new HttpGet(queryUrl);
            httpResponse = httpClient.execute(httpGet);
            System.out.println("--------Result of the Cardpunch Query: ");
            printResponse(httpResponse);

            httpClient.close();
        } catch (Exception ex) {
            ex.printStackTrace();
        }

    }

    private static void printResponse(HttpResponse httpResponse)
            throws ParseException, IOException {
        // 获取响应消息实体
        HttpEntity entity = httpResponse.getEntity();
        // 响应状态
        System.out.println("--------Status: " + httpResponse.getStatusLine());
        System.out.println("--------Headers: ");
        HeaderIterator iterator = httpResponse.headerIterator();
        while (iterator.hasNext()) {
            System.out.println("\t" + iterator.next());
        }
        // 判断响应实体是否为空
        if (entity != null) {
            String responseString = EntityUtils.toString(entity);
            System.out.println("--------Response length: " + responseString.length());
            System.out.println("--------Response content: "
                    + responseString.replace("\r\n", ""));
        }
    }

    private static String getCsrfToken(HttpEntity responseEntity) throws IOException{
        //获取网页内容,指定编码
        String web = EntityUtils.toString(responseEntity,"utf-8");
        Document doc= Jsoup.parse(web);
        // 选择器,选取特征信息
        String token = doc.select("meta[name=_csrf]").get(0).attr("content");
        System.out.println( "--------The current CSRF Token is: " + token);

        return token;
    }


}

 

补充:如果使用HttpClientContext方式来维持会话,与CookieStore很接近;直接帖上需要修改的部分内容:

// 创建httpClient和context
static CloseableHttpClient httpClient = HttpClients.createDefault();
static HttpClientContext context = HttpClientContext.create();

// 下面的代码写在main()方法中
CloseableHttpResponse httpResponse = null;
// 先发起一个Get请求,获取CSRF令牌和Cookie
HttpGet httpGet = new HttpGet(EHR_ADDRESS);
// 保存context上下文
httpResponse = httpClient.execute(httpGet, context);
...
// 处理完CSRF令牌后,准备发起POST请求
HttpPost httpPost = new HttpPost(EHR_ADDRESS);
... // 封装POST报文

// 发起POST请求
httpResponse = httpClient.execute(httpPost, context);

// 处理HTTP 302和业务查询操作的GET,也要携带着context
httpResponse = httpClient.execute(httpGet, context);

 

相关文章
|
5天前
|
数据采集 Java 数据挖掘
Java IO异常处理:在Web爬虫开发中的实践
Java IO异常处理:在Web爬虫开发中的实践
|
3天前
|
关系型数据库 Java MySQL
"解锁Java Web传奇之旅:从JDK1.8到Tomcat,再到MariaDB,一场跨越数据库的冒险安装盛宴,挑战你的技术极限!"
【9月更文挑战第6天】在Linux环境下安装JDK 1.8、Tomcat和MariaDB是搭建Java Web应用的关键步骤。本文详细介绍了使用apt-get安装OpenJDK 1.8、下载并配置Tomcat,以及安装和安全设置MariaDB(MySQL的开源分支)的方法。通过这些步骤,您可以快速构建一个稳定、高效的开发和部署环境,并验证各组件是否正确安装和运行。这为您的Java Web应用提供了一个坚实的基础。
12 0
|
8天前
|
Java Maven Android开发
解锁Web开发新技能:从零开始的Struts 2之旅——让你的Java编程之路更加宽广,首个应用实例带你飞!
【8月更文挑战第31天】对于初学者,掌握 Struts 2 框架不仅能提升 Web 开发能力,还能深入了解 MVC 架构。Struts 2 是一个基于 Servlet 的 Java 框架,提供表单验证、文件上传、国际化等功能,便于快速构建易维护的 Web 应用。本文通过示例演示如何从零开始搭建环境并创建一个简单的 Struts 2 项目,包括配置 `struts.xml`、编写 Action 类及视图文件,并配置 web.xml。通过这些步骤,你将学会基本的开发流程,为进一步学习高级功能打下基础。
21 0
|
8天前
|
测试技术 Java
揭秘Struts 2测试的秘密:如何打造无懈可击的Web应用?
【8月更文挑战第31天】在软件开发中,确保代码质量的关键在于全面测试。对于基于Struts 2框架的应用,结合单元测试与集成测试是一种有效的策略。单元测试聚焦于独立组件的功能验证,如Action类的执行逻辑;而集成测试则关注组件间的交互,确保框架各部分协同工作。使用JUnit进行单元测试,可通过简单示例验证Action类的返回值;利用Struts 2 Testing插件进行集成测试,则可模拟HTTP请求,确保Action方法正确处理请求并返回预期结果。这种结合测试的方法不仅提高了代码质量和可靠性,还保证了系统各部分按需协作。
|
8天前
|
前端开发 Java UED
JSF遇上Material Design:一场视觉革命,如何让传统Java Web应用焕发新生?
【8月更文挑战第31天】在当前的Web开发领域,用户体验和界面美观性至关重要。Google推出的Material Design凭借其独特的动画、鲜艳的颜色和简洁的布局广受好评。将其应用于JavaServer Faces(JSF)项目,能显著提升应用的现代感和用户交互体验。本文介绍如何通过PrimeFaces等组件库在JSF应用中实现Material Design风格,包括添加依赖、使用组件及响应式布局等步骤,为用户提供美观且功能丰富的界面。
16 0
|
9天前
|
Java 前端开发 Apache
Apache Wicket与Spring MVC等Java Web框架大PK,究竟谁才是你的最佳拍档?点击揭秘!
【8月更文挑战第31天】在Java Web开发领域,众多框架各具特色。Apache Wicket以组件化开发和易用性脱颖而出,提高了代码的可维护性和可读性。相比之下,Spring MVC拥有强大的生态系统,但学习曲线较陡;JSF与Java EE紧密集成,但在性能和灵活性上略逊一筹;Struts2虽成熟,但在RESTful API支持上不足。选择框架时还需考虑社区支持和文档完善程度。希望本文能帮助开发者找到最适合自己的框架。
20 0
|
9天前
|
Java Spring 开发者
Java Web开发新潮流:Vaadin与Spring Boot强强联手,打造高效便捷的应用体验!
【8月更文挑战第31天】《Vaadin与Spring Boot集成:最佳实践指南》介绍了如何结合Vaadin和Spring Boot的优势进行高效Java Web开发。文章首先概述了集成的基本步骤,包括引入依赖和配置自动功能,然后通过示例展示了如何创建和使用Vaadin组件。相较于传统框架,这种集成方式简化了配置、提升了开发效率并便于部署。尽管可能存在性能和学习曲线方面的挑战,但合理的框架组合能显著提升应用开发的质量和速度。
19 0
|
9天前
|
开发者 Java Spring
【绝技揭秘】掌握Vaadin数据绑定:一键同步Java对象,告别手动数据烦恼,轻松玩转Web应用开发!
【8月更文挑战第31天】Vaadin不仅是一个功能丰富的Java Web应用框架,还提供了强大的数据绑定机制,使开发者能轻松连接UI组件与后端Java对象,简化Web应用开发流程。本文通过创建一个简单的用户信息表单示例,详细介绍了如何使用Vaadin的`Binder`类实现数据绑定,包括字段与模型属性的双向绑定及数据验证。通过这个示例,开发者可以更专注于业务逻辑而非繁琐的数据同步工作,提高开发效率和应用可维护性。
26 0
|
9天前
|
测试技术 开发者
守护代码质量的利器:揭秘Vaadin单元测试的奥秘,助你打造无懈可击的Web应用
【8月更文挑战第31天】在软件开发中,单元测试是确保代码质量和稳定性的重要手段。对于使用Vaadin框架开发的Web应用,有效的单元测试尤为关键。Vaadin提供了完善的工具链支持,并鼓励测试驱动开发(TDD)。本文详细介绍了如何为Vaadin应用编写单元测试,并通过具体示例展示了测试环境搭建、依赖配置以及对简单`UserForm`组件的测试方法。通过JUnit和Mockito,我们验证了表单字段的变化及有效性,确保组件按预期工作,从而提升应用的整体健壮性和可靠性。这不仅有助于发现潜在问题,还能简化未来的维护工作。
24 0
|
9天前
|
JSON 数据库 开发者
FastAPI入门指南:Python开发者必看——从零基础到精通,掌握FastAPI的全栈式Web开发流程,解锁高效编码的秘密!
【8月更文挑战第31天】在当今的Web开发领域,FastAPI迅速成为开发者的热门选择。本指南带领Python开发者快速入门FastAPI,涵盖环境搭建、基础代码、路径参数、请求体处理、数据库操作及异常处理等内容,帮助你轻松掌握这一高效Web框架。通过实践操作,你将学会构建高性能的Web应用,并为后续复杂项目打下坚实基础。
18 0