'%3E%3Cpath fill='%233A5C8D' d='M18.08 2H1.93C.87 2 0 2.85 0 3.9v15.5l.22.02c9.75 0 17.7-7.8 17.86-17.42Z' /%3E%3Cpath fill='%233A5C8D' d='M26.33 2H24.2C24.05 14.97 13.35 25.48.22 25.48L0 25.47v2.61C0 29.14.87 30 1.93 30h24.4c1.06 0 1.94-.86 1.94-1.92V3.91c0-1.05-.88-1.9-1.94-1.9Z' /%3E%3Cpath fill='%23262C49' d='M39.27 31.8c-.74-.2-1.28-.74-1.28-1.48 0-.88.67-1.55 1.56-1.55.23 0 .37.03.64.03 1.7 0 2.92-.63 2.92-3.02V10.52c0-1.04.74-1.81 1.8-1.81 1.01 0 1.76.77 1.76 1.81v15.73c0 3.9-2.34 5.75-5.83 5.75a5.1 5.1 0 0 1-1.57-.2Zm8.01-28.87a2.34 2.34 0 0 1-2.37 2.28 2.32 2.32 0 0 1-2.38-2.28 2.31 2.31 0 0 1 2.38-2.3 2.35 2.35 0 0 1 2.37 2.3Zm9.26 14.31a2.62 2.62 0 0 1-2.66 2.57 2.6 2.6 0 0 1-2.67-2.57 2.6 2.6 0 0 1 2.67-2.56 2.63 2.63 0 0 1 2.66 2.56Zm4.56 6.89V1.81C61.1.77 61.84 0 62.9 0c1.01 0 1.76.77 1.76 1.81v22.32c0 1.05-.75 1.82-1.76 1.82-1.02 0-1.8-.77-1.8-1.82Zm21.93-8.53v8.57a1.7 1.7 0 0 1-1.76 1.78 1.73 1.73 0 0 1-1.76-1.78v-.2a6.88 6.88 0 0 1-5.13 1.98c-3.46 0-5.8-1.92-5.8-4.77 0-2.9 2.37-4.7 6.14-4.7h4.72v-1.09c0-2.25-1.3-3.52-3.57-3.52-1.39 0-2.64.5-3.69 1.54-.44.37-.82.54-1.23.54-.84 0-1.55-.7-1.55-1.48 0-.5.23-.97.7-1.44a8.39 8.39 0 0 1 6.08-2.32c4.31 0 6.85 2.55 6.85 6.89Zm-3.6 3.73v-.3h-4.27c-1.93 0-2.95.7-2.95 2.01 0 1.35 1.15 2.19 2.92 2.19 2.4 0 4.3-1.72 4.3-3.9Zm25.67-1.99c0 4.98-3.46 8.61-8.14 8.61-2.38 0-4.38-.9-5.64-2.42v.6c0 1.08-.74 1.82-1.72 1.82-1.06 0-1.8-.77-1.8-1.82V1.81C87.8.77 88.58 0 89.6 0c1.01 0 1.76.74 1.76 1.81v9.32a7.07 7.07 0 0 1 5.56-2.42c4.72 0 8.18 3.66 8.18 8.63Zm-3.66-.03c0-3.09-2.14-5.38-5.1-5.38-3.01 0-5.02 2.19-5.02 5.41 0 3.2 2.04 5.38 5.03 5.38 2.95 0 5.09-2.28 5.09-5.4Zm6.66 6.09c-.34-.3-.51-.67-.51-1.15 0-.84.71-1.54 1.6-1.54.37 0 .74.13 1.11.47a5.66 5.66 0 0 0 3.9 1.71c1.46 0 2.68-.6 2.68-1.85 0-1.07-.98-1.5-2.34-2.05l-1.7-.7c-2.67-1.11-4.34-2.32-4.34-4.81 0-3.06 2.58-4.77 5.88-4.77 2.13 0 4 .77 5.29 2.01.37.34.54.74.54 1.18a1.5 1.5 0 0 1-1.5 1.51c-.37 0-.67-.16-1.11-.5a5.47 5.47 0 0 0-3.3-1.14c-1.32 0-2.27.5-2.27 1.58 0 .9.68 1.34 2.2 1.95l1.6.63c3.02 1.25 4.55 2.56 4.55 4.98 0 3.32-2.85 5.04-6.17 5.04a8.25 8.25 0 0 1-6.11-2.56Z' /%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='a'%3E%3Cpath fill='%23fff' d='M0 0h120.38v32H0z' /%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E)
JSON Web Token i jego obsługa w RestAssured
JWT, czyli JSON Web Token, to kompaktowy i samowystarczalny sposób bezpiecznego przesyłania informacji między dwiema stronami. Jest często używany do uwierzytelniania i autoryzacji w aplikacjach internetowych, interfejsach API i systemach rozproszonych. Mówiąc prościej, jest niczym cyfrowy paszport lub dowód osobisty, który zawiera zakodowane informacje o użytkowniku lub encji.
Wprowadzenie do JWT
JWT składa się z trzech części: nagłówka, zawartości i podpisu. Nagłówek określa typ tokena (którym jest JWT) i algorytm użyty do jego podpisania. Zawartość to rzeczywiste dane lub stwierdzenia („claims”), które mogą zawierać informacje, takie jak identyfikator użytkownika, rola, uprawnienia i inne istotne szczegóły. Stwierdzenia te zakodowano jako obiekt JSON.
Aby zapewnić integralność i autentyczność tokena, podpis generuje się przez połączenie nagłówka, zawartości i tajnego klucza znanego tylko serwerowi. Jest on dodawany do tokena, dzięki czemu odznacza się odpornością na manipulacje. Gdy serwer odbierze token, może zweryfikować podpis przy użyciu tego samego tajnego klucza i upewnić się, że token nie został zmodyfikowany lub naruszony.
Przykład
Nagłówek („Header”):
{
"alg": "HS256",
"typ": "JWT"
}Zawartość („Payload”):
{
"name": "admin",
"age": 35
}Podpis („Signature”):
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
my_secret
)Zakodowana postać tokena JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiYWRtaW4iLCJhZ2UiOjM1fQ.zt3sQAm2-9gjbRSh20rjn1nAPIv3vNhgQM2-31I5DRYJak przetestować działanie JWT za pomocą frameworka RestAssured?
Dla prostego przypadku testowego użyję strony https://demoqa.com/. Zanim zacznę, przede wszystkim muszę przygotować kilka rzeczy, aby uzyskać token JWT. Zgodnie ze swaggerem DemoQA trzeba utworzyć użytkownika, wysyłając POST do punktu końcowego /Account/v1/User z danymi użytkownika. Jak to zrobić? Spójrz:
private String body = "{\n" +
" \"userName\": \"" + USERNAME + "\",\n" +
" \"password\": \"" + PASSWORD + "\"\n" +
"}";Tak natomiast wygląda wysłanie danych użytkownika i pobranie jego identyfikatora z pola „userID” z odpowiedzi:
private void createUser() {
userID = given()
.contentType("application/json")
.body(body)
.when()
.post(USER_ENDPOINT)
.jsonPath()
.get("userID");
}
Po pomyślnym utworzeniu użytkownika nadszedł czas, aby wygenerować dla niego token. Podążając za swaggerem, muszę wysłać zapytanie typu POST z tymi samymi danymi użytkownika na endpoint /Account/v1/GenerateToken. Zobacz:
private void generateToken() {
token = given()
.contentType("application/json")
.body(body)
.when()
.post(GENERATE_TOKEN_ENDPOINT)
.jsonPath()
.get("token");
}Podobnie jak w poprzednim fragmencie kodu token został pobrany z odpowiedzi json, przyjmując wartość elementu „token”.
Gotowe? Po tym wstępie mogę wykonać dwa proste przypadki testowe, wysyłając zapytanie GET na /Account/v1/User. W pierwszym przypadku zamierzam autoryzować żądanie za pomocą już pobranego tokena, podczas gdy w drugim nie.
Zapytanie typu „GET” wraz z autoryzacją tokenem JWT:
@Test
void getAuthorizedUser() {
given()
.contentType("application/json")
.headers("Authorization", "Bearer " + token)
.when()
.get(USER_ENDPOINT + "/" + userID)
.then()
.assertThat()
.statusCode(HttpStatus.SC_OK);
}Zapytanie typu „GET” pozbawione tokena JWT:
@Test
void getUnauthorizedUser() {
given()
.contentType("application/json")
.when()
.get(USER_ENDPOINT + "/" + userID)
.then()
.assertThat()
.statusCode(HttpStatus.SC_UNAUTHORIZED);
}Powyższe przypadki testowe są bardzo podobne. Jedyną różnicą jest dodanie nagłówka Authorization wraz z tokenem w jednym z żądań. Schemat Bearer jest powszechną konwencją podczas obsługi tokena JWT w nagłówku autoryzacji. Spójrz:
Authorization: Bearer /token/Jak widzisz, odpowiedź na żądanie autoryzowanego użytkownika ma kod odpowiedzi HTTP 200. Oznacza to, że cała operacja zakończyła się pomyślnie. W drugim przypadku, gdy użytkownik jest nieautoryzowany (brak tokena w nagłówku), kod statusu odpowiedzi to 401, a więc „nieautoryzowany”.
Podsumowanie
Artykuł zawiera informacje o obsłudze tokena JSON Web Token (JWT) przy użyciu biblioteki Rest Assured. Wyjaśniłem w nim znaczenie JWT w zabezpieczaniu aplikacji internetowych i interfejsów API. Główna część artykułu to przewodnik krok po kroku dotyczący procesu implementacji uwierzytelniania JWT w Rest Assured. Obejmuje on podstawowe pojęcia, takie jak uzyskiwanie i analizowanie JWT, ustawianie nagłówków i obsługa autoryzowanych żądań. Po zapoznaniu się z nim uzyskasz podstawową wiedzę i narzędzia do pomyślnego wdrożenia i walidacji uwierzytelniania z wykorzystaniem JWT w scenariuszach testowych Rest Assured, zachowując dobre praktyki testowania API.
Bibliografia
Poznaj mageek of j‑labs i daj się zadziwić, jak może wyglądać praca z j‑People!
Skontaktuj się z nami
