首先,做这个测试需要用到Postman,请先安装。
然后测试开始,先打开QQ空间,并按F12,点到网络(Network)选项
然后在左边输入测试内容(随便内容都行),输完点击清除按钮,并立即点发表按钮
这时内容会在QQ空间发表(这是第一次发表,是在QQ空间发表的),此时右边会出现一个emotion开头的文件,然后选中它,右键,复制,以cURL(bash)格式复制
复制下来的内容如下,里面包含了请求头的信息和token的信息,token在这里是至关重要的
然后打开Postman,点击import,再点击Raw text,将复制的内容粘贴在下面的窗口中,点击Continue
然后点击Import进行导入
导入成功后会出现以下界面
这里我们就点击右上角那个Send按钮进行post请求测试,测试完是下面这样的
这会儿回到QQ空间,刷新一下,你会发现多了一条动态,这个就是我们刚刚进行post请求测试的时候发送的,但是并没有去QQ空间发布,前面一条是刚开始在QQ空间发布的
然后又转到Postman,对下图所标注的字符串进行修改
修改完后再次点击Send,再到QQ空间刷新
刷新后你会发现又多了一条动态,而且还是你刚刚修改的内容,到这里测试就结束了!
回想一下,为什么会这样啊?我根本没到QQ空间发表,为什么QQ空间会新发表两条动态呢?这就与token有关了。那么什么又是token呢?
token是什么?
token的意思是“令牌”,是服务器生成的一段加密字符串,然后返回给客户端。
场景: 用户登录成功后, 需要反复到服务器获取敏感数据,服务器对每次请求都要验证是哪位用户发送的, 且用户是否合法, 需要反复查询数据库, 对数据库造成过大压力。
当用户第一次登陆,服务端会签发一个token,再把这个token 发送给客户端,客户端每次向服务端请求资源的时候,都必须携带token。服务器直接解密token就可以知道用户的相关信息,省去查询数据库的操作,减轻数据库压力!
这下知道为什么了吧!只要我们拿着这个token,发送请求的时候服务器就知道我们是谁,我们就可以访问到服务器,并做一些操作。所以这就为什么平时有些人的QQ被盗,QQ空间发送一些敏感的内容。这些人点击了来历不明的链接或者其他东西,被那些居心叵测的人利用脚本等手段,获取到了你的token,对你的QQ进行了操作。
这里我们是用Postman进行模拟请求测试的,是为了方便,当然用代码也是可以实现的!
