[JAVA] Paramètres lors de l'appel de l'API à l'aide des mesures CSRF de Spring Security dans JMeter
Chose que tu veux faire
Comme le dit le long titre.
J'ai créé une API pour appeler depuis une application Vue.js avec Spring Boot,
Il a été décidé de réaliser un test de charge de cette API.
J'utilise JMeter pour créer un scénario, mais puisque j'utilise des mesures CSRF en utilisant le CookieCsrfTokenRepository de Spring Security.
- Obtenez la valeur du cookie
XSRF-TOKENen tant que jeton CSRF - Défini comme en-tête
X-XSRF-TOKENlors de l'appel d'une API en utilisantPOST
C'est pourquoi nous devions faire cela dans le scénario.
Spécifications approximatives de l'API testée
Seule l'image ressemble à ceci.
| url | Méthode HTTP | Aperçu |
|---|---|---|
| /login | POST | ID/Envoyer le mot de passe pour vous connecter Une fois la connexion réussie XSRF-TOKENLe cookie est donnéNon soumis au contrôle CSRF |
| /orders | POST | Enregistrer une commande Cible de contrôle CSRF |
environnement
application
- Spring Boot 2.1.4
outil
- Apache JMeter 5.1.1
- Les paramètres sont définis en démarrant l'interface graphique.
Paramètres JMeter
Obtenez la valeur de XSRF-TOKEN
La réponse de / login contiendra le cookie de XSRF-TOKEN, donc il sera extrait.
Pour le moment, en regardant la réponse de / login dans DevTools, cela ressemble à ceci.
Réglage
Les appels à / login sont définis dans l'échantillonneur HTTP Request. (Détails omis)
Après avoir exécuté cet échantillonneur, utilisez "Regular Expression Extraction" pour obtenir un jeton CSRF.
procédure
- Sélectionnez l'échantillonneur
HTTP Requestdans/ loginet faites un clic droit - Sélectionnez ʻADD
→Post Processors→Regular Expression Extractor` - Définissez comme suit (le nom et les commentaires sont appropriés)
- Extrait des en-têtes de réponse
- Puisqu'il est extrait de l'en-tête, il est nécessaire d'écrire l'expression régulière dans le format confirmé par DevTools plus tôt, en bref, le format incluant "Set-Cookie:"
Est-ce là le point?
Dans les scénarios suivants, vous pouvez spécifier $ {xsrf_token} pour résoudre la valeur extraite de la variable.
Définir l'en-tête X-XSRF-TOKEN
Puisque «/ orders» est soumis à une vérification CSRF, il est nécessaire de définir l'en-tête «X-XSRF-TOKEN» au moment de l'appel.
Réglage
Les appels à / orders sont définis dans l'échantillonneur HTTP Request. (Détails omis)
Lors de l'exécution de cet échantillonneur, utilisez le HTTP Header Manager pour définir l'en-tête X-XSRF-TOKEN.
procédure
- Sélectionnez l'échantillonneur
HTTP Requestdans/ orderset faites un clic droit - Sélectionnez ʻADD
→Config Element→HTTP Header Manager` - Définissez comme suit (le nom et les commentaires sont appropriés, le type de contenu est défini car il est nécessaire dans cette spécification spécifique à l'API)
Le $ {xsrf_token} obtenu précédemment est défini comme en-tête X-XSRF-TOKEN.
Résumé
Avec les paramètres ci-dessus, vous pouvez passer les mesures CSRF. Si vous êtes nouveau sur JMeter, vous ne pouvez pas immédiatement penser à une si petite application. Je pensais que ce serait ennuyeux (c'est mon expérience inconnue), alors je l'ai écrit.
Page de référence
J'ai évoqué ce qui suit. Merci beaucoup.
https://www.blazemeter.com/blog/how-load-test-csrf-protected-web-sites