← Назад ко всем вопросам

Как передается, где хранится и как QA может увидеть токен авторизации

1️⃣ Как кратко ответить

Токен авторизации передается в HTTP-заголовках, обычно в заголовке Authorization. Хранится на клиентской стороне, чаще всего в localStorage или sessionStorage. QA может увидеть токен, используя инструменты разработчика в браузере, такие как вкладка "Network" для перехвата запросов и вкладка "Application" для просмотра хранилищ.

2️⃣ Подробное объяснение темы

Токен авторизации — это ключ, который используется для подтверждения подлинности пользователя при взаимодействии с сервером. Он позволяет серверу идентифицировать пользователя и предоставлять доступ к защищенным ресурсам.

Как передается токен авторизации:

Токен обычно передается в HTTP-заголовках. Наиболее распространенный способ — использование заголовка Authorization. Формат передачи может быть следующим:

Authorization: Bearer <токен>

Здесь Bearer указывает на тип токена, а <токен> — это сам токен.

Где хранится токен авторизации:

На клиентской стороне токен может храниться в нескольких местах:

  • localStorage: Долговременное хранилище, данные сохраняются даже после закрытия браузера.
  • sessionStorage: Временное хранилище, данные удаляются после закрытия вкладки или браузера.
  • Cookies: Используются для хранения данных, которые могут быть отправлены на сервер с каждым запросом.

Как QA может увидеть токен авторизации:

QA-инженер может использовать инструменты разработчика в браузере для просмотра токена:

  1. Вкладка "Network":

    • Откройте инструменты разработчика (обычно F12 или Ctrl+Shift+I).
    • Перейдите на вкладку "Network".
    • Выполните действие, которое отправляет запрос с токеном.
    • Найдите нужный запрос в списке и выберите его.
    • В правой части окна выберите "Headers" и найдите заголовок Authorization.

  2. Вкладка "Application":

    • Откройте инструменты разработчика.
    • Перейдите на вкладку "Application".
    • В левой части выберите Local Storage или Session Storage.
    • Найдите домен вашего приложения и просмотрите сохраненные данные, чтобы найти токен.

Пример кода для отправки токена:

// Создание HTTP-запроса с использованием Fetch API
fetch('https://api.example.com/data', {
  method: 'GET', // Метод запроса
  headers: {
    'Authorization': 'Bearer your_token_here' // Добавление токена в заголовок Authorization
  }
})
.then(response => response.json()) // Обработка ответа в формате JSON
.then(data => console.log(data)) // Вывод данных в консоль
.catch(error => console.error('Error:', error)); // Обработка ошибок
  • fetch: Функция для выполнения HTTP-запроса.
  • method: 'GET': Указывает, что это GET-запрос.
  • headers: Объект, содержащий заголовки запроса.
  • 'Authorization': 'Bearer your_token_here': Добавление токена в заголовок Authorization.
  • response.json(): Преобразование ответа в формат JSON.
  • console.log(data): Вывод полученных данных в консоль.
  • catch: Обработка возможных ошибок при выполнении запроса.

Понимание того, как передается и хранится токен, позволяет QA-инженеру эффективно тестировать безопасность и функциональность приложения, а также выявлять возможные уязвимости.

Тема: Безопасность, авторизация и токены
Стадия: Tech

🔒 Подпишись на бусти автора и стань Алигатором, чтобы получить полный доступ к функционалу сайта и отслеживать свой прогресс!

Твои заметки