Capacitación en Java de Beida Jade Bird: ¿Resolver el problema del código de verificación en las pruebas de rendimiento WEB?
En pocas palabras, el código de verificación es una cadena de verificación (generalmente una imagen generada por fondo, distorsión, etc.) que aparecerá aleatoriamente en la página al iniciar sesión o enviar contenido. al mismo tiempo.
El código de verificación puede prevenir eficazmente el espionaje de contraseñas y una gran cantidad de contenido basura causado por el llamado software de promoción en línea, y ha sido aceptado como método de implementación estándar por muchas aplicaciones de Internet o intranet.
Pero para las pruebas de rendimiento, este código de verificación trae grandes problemas.
El problema más destacado es que la herramienta de prueba de rendimiento en sí es una herramienta automatizada. Dado que este código de verificación adopta el método de "prevenir intentos de herramientas automatizadas", es difícil ajustar el script después de la grabación para satisfacer las necesidades de verificación del código de verificación.
Este problema se ha mencionado más de una vez, preguntando si existe una solución mejor.
Mi opinión personal sobre este tema es que existen básicamente tres formas de resolver este problema: 1. El primer método, y el más fácil de imaginar, es bloquear temporalmente la función de verificación en el sistema bajo prueba, es decir, modificar temporalmente la aplicación, no importa qué código de verificación ingrese el usuario, se considera correcto.
Este método es el más fácil de implementar y no tendrá mucho impacto en los resultados de la prueba (por supuesto, este método elimina el enlace "verificación del código de verificación", pero es difícil que este enlace se convierta en un cuello de botella de rendimiento del sistema).
Sin embargo, este método tiene un problema fatal: si el sistema bajo prueba está realmente en línea, bloquear la función de verificación causará grandes riesgos de seguridad para el negocio que ya está en funcionamiento, por lo que este método no es adecuado para sistemas en línea; 2. El segundo método es una ligera mejora con respecto al primer método.
El primer método trae grandes problemas de seguridad. Puedes considerar no cancelar la verificación, sino dejar una puerta trasera en la misma. Configuramos el llamado "código de verificación universal". Siempre que el usuario ingrese este "código de verificación universal", pasaremos la verificación. De lo contrario, seguiremos verificando según el método de verificación original.
Este método todavía tiene problemas de seguridad, pero debido a que podemos controlar el "código de verificación universal" dentro de un pequeño rango a través de medios de administración, y solo retener esta pequeña puerta trasera durante las pruebas de rendimiento, es diferente del primero. con este método, la seguridad ha mejorado enormemente; 3. Si la respuesta de seguridad es realmente importante y no se permiten errores, entonces podemos manejar aún más este problema.
Las herramientas de prueba de rendimiento generales (LR de MI, Silkperformer de Seague, etc.) pueden llamar a DLL externas o interfaces de componentes. Por lo tanto, Guangxi Computer Training/Recommendation puede considerar implementar la "verificación del código de verificación", escribir una DLL para obtener el código de verificación y llamarlo en el script de prueba.