告别401:用Fiddler+BCompare辅助Loadrunner录制单点登录脚本的保姆级指南
性能测试进阶:Fiddler+BCompare精准捕获单点登录动态参数的实战手册
当系统采用单点登录(SSO)架构时,性能测试脚本录制往往会遇到动态令牌频繁变更的难题。传统录制方式需要反复回放调试才能定位关键参数,而本文将展示如何通过Fiddler抓包分析和BCompare差异对比的组合拳,在Loadrunner脚本开发中实现降维打击。
1. 工具链配置与初始抓包策略
工欲善其事必先利其器,我们需要先搭建好工具协作环境。建议使用Fiddler Classic作为抓包工具(最新版已内置TLS 1.3支持),BCompare 4.x以上版本进行文本比对,Loadrunner 12.6+作为脚本执行平台。
关键配置步骤:
# Fiddler设置过滤规则避免噪声干扰 Filters -> Use Filters -> 勾选"Show only the following Hosts" -> 输入SSO域名首次抓包时常见两个典型误区:
- 在浏览器隐私窗口直接操作,导致缓存干扰
- 过早清理非关键请求,丢失上下文关联
提示:建议在Fiddler中启用"Decrypt HTTPS traffic"并安装根证书,否则会遗漏加密通道中的关键令牌
2. 清洁抓包与二次登录技巧
面对SSO系统的认证流程,我们需要获取最精简的请求序列。以下是经过实战验证的方法论:
- 首次登录:完整走通流程,观察认证跳转路径
- 清除会话:手动删除所有Cookies和LocalStorage
- 二次抓包:仅保留必要请求,此时流量最纯净
通过BCompare对比两次登录的请求差异,可以快速识别出动态参数。例如某政务系统的令牌变化规律:
| 请求序号 | 参数名 | 示例值 | 变化规律 |
|---|---|---|---|
| 3 | data | a69de45b-f6b8-46de-a4aa-4e5 | 每次登录变化 |
| 5 | Access-Token | 0ec9c634-1b68-4de0-ae8d-612edd | 会话级别有效 |
| 6 | TERMINAL-JTOKEN | Co78x+3ssbtNd/b | 需URL解码 |
3. 动态参数关联的三层防御体系
针对SSO系统的动态参数,需要建立多级捕获机制:
// 第一层:捕获响应体中的data参数 web_reg_save_param("data", "LB={\"data\":\"", "RB=\"}", LAST); // 第二层:捕获请求头中的Access-Token web_reg_save_param("Access-Token", "LB={\"Access-Token\":\"", "RB=\"}", LAST); // 第三层:处理302跳转中的TERMINAL-JTOKEN web_reg_save_param("TERMINAL-JTOKEN", "LB=token=", "RB=\r\nContent-Language", LAST);常见坑点解决方案:
- 当遇到401错误时,检查时间戳参数是否过期
- 出现403禁止访问时,验证签名参数是否漏传
- 会话失效问题多源于Cookie作用域设置不当
4. 高级调试技巧与性能优化
在基础关联之外,这些技巧能显著提升脚本稳定性:
- 智能代理切换:根据协议自动设置代理
if(strstr(lr_eval_string("{scheme}"), "https")){ web_set_secure_proxy("localhost:8888"); }else{ web_set_proxy("localhost:8888"); }- 差异对比自动化:用BCompare脚本批量比对
# BC脚本示例 import os os.system('BCompare @"./script.txt"')- 流量回放验证:在Fiddler中重放服务器响应
选中请求 -> Replay -> Reissue and Edit 修改响应后点Run to Completion某金融系统实战案例表明,采用该方法后脚本调试时间从平均8小时降至1.5小时,首次回放成功率提升至90%以上。关键在于建立了抓包->分析->比对->关联的标准化流程,而非盲目试错。