洋芋博客

一个什么都分享的博客

首先,做这个测试需要用到Postman,请先安装。

然后测试开始,先打开QQ空间,并按F12,点到网络(Network)选项

然后在左边输入测试内容(随便内容都行),输完点击清除按钮,并立即点发表按钮

这时内容会在QQ空间发表(这是第一次发表,是在QQ空间发表的),此时右边会出现一个emotion开头的文件,然后选中它,右键,复制,以cURL(bash)格式复制

复制下来的内容如下,里面包含了请求头的信息和token的信息,token在这里是至关重要的

然后打开Postman,点击import,再点击Raw text,将复制的内容粘贴在下面的窗口中,点击Continue

然后点击Import进行导入

导入成功后会出现以下界面

这里我们就点击右上角那个Send按钮进行post请求测试,测试完是下面这样的

这会儿回到QQ空间,刷新一下,你会发现多了一条动态,这个就是我们刚刚进行post请求测试的时候发送的,但是并没有去QQ空间发布,前面一条是刚开始在QQ空间发布的

然后又转到Postman,对下图所标注的字符串进行修改

修改完后再次点击Send,再到QQ空间刷新

刷新后你会发现又多了一条动态,而且还是你刚刚修改的内容,到这里测试就结束了!

回想一下,为什么会这样啊?我根本没到QQ空间发表,为什么QQ空间会新发表两条动态呢?这就与token有关了。那么什么又是token呢?

token是什么?

token的意思是“令牌”,是服务器生成的一段加密字符串,然后返回给客户端。

场景: 用户登录成功后, 需要反复到服务器获取敏感数据,服务器对每次请求都要验证是哪位用户发送的, 且用户是否合法, 需要反复查询数据库, 对数据库造成过大压力。

当用户第一次登陆,服务端会签发一个token,再把这个token 发送给客户端,客户端每次向服务端请求资源的时候,都必须携带token。服务器直接解密token就可以知道用户的相关信息,省去查询数据库的操作,减轻数据库压力!

这下知道为什么了吧!只要我们拿着这个token,发送请求的时候服务器就知道我们是谁,我们就可以访问到服务器,并做一些操作。所以这就为什么平时有些人的QQ被盗,QQ空间发送一些敏感的内容。这些人点击了来历不明的链接或者其他东西,被那些居心叵测的人利用脚本等手段,获取到了你的token,对你的QQ进行了操作。

这里我们是用Postman进行模拟请求测试的,是为了方便,当然用代码也是可以实现的!

2 comments

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注