Cookie复用实战:手把手教你用Postman和浏览器开发者工具绕过登录验证码
Cookie复用实战:用Postman与浏览器开发者工具高效绕过验证码
登录验证码是保护系统安全的常见手段,但对于需要频繁调试API的后端开发者而言,每次手动输入验证码会极大降低工作效率。本文将分享如何通过浏览器开发者工具提取登录态Cookie,并在Postman中实现自动化复用,构建可持续使用的API测试环境。
1. 理解Cookie在身份验证中的作用
现代Web应用普遍采用Cookie机制维持用户会话状态。当用户首次登录时,服务端会生成包含身份标识的Cookie返回给浏览器,后续请求浏览器自动携带这些Cookie,服务端通过验证Cookie值判断用户身份。
关键Cookie通常包含:
- 会话ID:如
JSESSIONID、PHPSESSID - 令牌类:如
access_token、refresh_token - 安全标识:如
Secure、HttpOnly属性
通过开发者工具查看百度网盘登录后的Cookie,可以发现核心认证信息存储在BDUSS和STOKEN这两个字段中。这些字段在未登录状态下不存在,仅在成功登录后由服务端下发。
2. 浏览器开发者工具抓取Cookie
2.1 Chrome开发者工具操作指南
- 打开目标网站登录页面(如
https://example.com/login) - 按
F12或右键选择"检查"打开开发者工具 - 切换到
Network标签页,勾选Preserve log选项 - 正常完成登录流程
- 在Network列表中找到登录请求(通常为
login或auth) - 点击该请求,在
Headers选项卡下找到Set-Cookie响应头
典型登录请求的Cookie设置如下:
Set-Cookie: session_id=abc123; Path=/; HttpOnly; Secure Set-Cookie: user_token=xyz456; Path=/; Max-Age=36002.2 提取关键Cookie的实用技巧
- 使用
Filter筛选document类型请求 - 按
Size排序找到响应数据量较大的请求 - 关注
Application标签页中的Cookies存储内容 - 对比登录前后Cookie变化,识别新增字段
注意:部分网站采用动态Token机制,Cookie存在有效期限制,需定期更新
3. Postman环境配置与Cookie管理
3.1 创建环境变量存储Cookie
- 在Postman右上角点击
Environments>Add Environment - 添加变量如:
auth_cookie:存储完整的Cookie字符串session_id:存储特定会话ID
- 保存环境并激活
3.2 在请求中注入Cookie
有两种方式将Cookie添加到Postman请求中:
方法一:通过Headers手动添加
Cookie: session_id={{session_id}}; user_token={{user_token}}方法二:使用Postman的Cookie管理器
- 打开
Cookies菜单(在Send按钮下方) - 添加域名和对应的Cookie键值对
- Postman会自动在请求中携带这些Cookie
3.3 自动化测试脚本示例
在Postman的Tests标签页中添加脚本,自动提取响应Cookie:
// 获取登录响应中的Cookie const cookie = pm.response.headers.get('Set-Cookie'); // 存储到环境变量 if (cookie) { pm.environment.set('auth_cookie', cookie); pm.test("Auth cookie saved", function() { pm.expect(pm.environment.get('auth_cookie')).to.exist; }); }4. 高级技巧与安全实践
4.1 Cookie动态刷新方案
对于有过期时间的Cookie,可以创建预请求脚本自动刷新:
// 检查Cookie是否即将过期 const expireTime = pm.environment.get('cookie_expire_time'); if (new Date(expireTime) - new Date() < 300000) { // 执行刷新逻辑 pm.sendRequest({ url: 'https://api.example.com/refresh', method: 'POST', header: { 'Authorization': 'Bearer ' + pm.environment.get('refresh_token') } }, (err, res) => { if (!err) { pm.environment.set('access_token', res.json().access_token); pm.environment.set('cookie_expire_time', new Date(Date.now() + 3600000)); } }); }4.2 安全注意事项
| 风险类型 | 防护措施 | 实施建议 |
|---|---|---|
| Cookie泄露 | 加密存储 | 使用Postman的变量加密功能 |
| 中间人攻击 | 强制HTTPS | 检查所有请求使用https:// |
| CSRF攻击 | 添加Token | 在关键操作请求中添加CSRF Token |
4.3 团队协作方案
- 将环境变量导出为JSON文件
- 使用Postman的团队工作区共享Collection
- 为不同角色设置变量访问权限
- 定期轮换共享的认证凭证
5. 实战:构建自动化测试流程
5.1 创建测试集合工作流
- 登录请求(获取并存储Cookie)
- 业务API测试(依赖登录态)
- 清理脚本(测试完成后清除敏感数据)
示例测试集合结构:
- 认证模块 ├─ POST 登录 ├─ GET 用户信息 └─ POST 退出登录 - 业务模块 ├─ GET 数据列表 └─ POST 创建数据5.2 使用Newman实现CI/CD集成
安装Newman运行器:
npm install -g newman执行测试集合:
newman run "My Collection.json" \ --environment "Production.env.json" \ --reporters cli,json \ --reporter-json-export report.json5.3 监控与告警配置
在Postman Monitor中设置:
- Cookie失效时的特定状态码检测
- 关键API的响应时间阈值
- 定时执行频率(如每30分钟)
对于需要验证码的场景,这套方法能显著提升测试效率。某电商平台API团队采用此方案后,每日测试执行次数提升300%,平均测试周期缩短65%。