第三方软件评测测试实验室【Gatling模拟认证用户登录、令牌使用、自动刷新到并发会话控制】

Gatling模拟需要认证的用户行为涉及从登录、令牌使用、自动刷新到并发会话控制。

认证会话

模拟登录和令牌管理

建立认证会话的第一步。

执行登录提取令牌

import io.gatling.core.Predef._ import io.gatling.http.Predef._ class AuthenticationSimulation extends Simulation { val httpProtocol = http.baseUrl("https://api.zmtests.com") // 1. 定义用户证据Feeder val credentialsFeeder = csv("data/credentials.csv").circular val loginScenario = scenario("用户登录和令牌管理") .feed(credentialsFeeder) // 2. 执行登录请求 .exec( http("用户登录") .post("/auth/login") .body(StringBody("""{"username":"${username}", "password":"${password}"}""")).asJson .check( // 3. 重点：从响应中提取令牌并存入Session jsonPath("$.access_token").saveAs("accessToken"), jsonPath("$.refresh_token").optional.saveAs("refreshToken"), jsonPath("$.expires_in").optional.saveAs("tokenExpiresIn") ) ) .exec(session => { // 4. 记录登录成功时间，用于计算令牌过期 println(s"用户 ${session("username").as[String]} 登录成功，令牌: ${session("accessToken").as[String].take(10)}...") session.set("loginTime", System.currentTimeMillis() / 1000) }) .pause(1) }

重点：使用 .check() 提取响应中的令牌，并用saveAs将其存入每个虚拟用户独立的Session中，后续请求通过 ${accessToken}来引用。

文章来源：卓码软件测评

精彩推荐：点击蓝字即可
▲软件负载测试▲API自动化测试▲软件测试▲第三方软件测试▲软件性能测试▲软件测试机构

使用令牌调用认证API

.exec( http("获取用户资料") .get("/api/user/profile") .header("Authorization", "Bearer ${accessToken}") // 从Session动态注入令牌 .check(status.is(200)) )

令牌自动刷新

需要在令牌失效前主动刷新。

主动刷新在业务请求前检查并刷新

在业务操作前，通过计算判断令牌是不是需要刷新。

// 假设令牌有效期为3600秒，我们设置阈值在剩余300秒时刷新 .exec(session => { val loginTime = session("loginTime").as[Long] val currentTime = System.currentTimeMillis() / 1000 val tokenAge = currentTime - loginTime val shouldRefresh = session.contains("refreshToken") && tokenAge > (3600 - 300) session.set("shouldRefreshToken", shouldRefresh) }) .doIf("${shouldRefreshToken}") { // 条件执行刷新 exec( http("刷新访问令牌") .post("/auth/refresh") .body(StringBody("""{"refresh_token":"${refreshToken}"}""")).asJson .check( jsonPath("$.access_token").saveAs("accessToken"), jsonPath("$.refresh_token").optional.saveAs("refreshToken") // 更新refresh_token ) ) .exec(session => { // 重置登录时间 println(s"用户 ${session("username").as[String]} 令牌已刷新") session.set("loginTime", System.currentTimeMillis() / 1000) .remove("shouldRefreshToken") }) }

被动刷新处理401未授权响应

当令牌已过期，请求返回401时，进行刷新并重试。

import io.gatling.commons.validation.Validation import io.gatling.core.action.builder.FeedBuilder // 定义刷新令牌的链，可重用 val refreshTokenChain = exec( http("被动刷新令牌") .post("/auth/refresh") .body(StringBody("""{"refresh_token":"${refreshToken}"}""")).asJson .check( jsonPath("$.access_token").saveAs("accessToken"), jsonPath("$.refresh_token").optional.saveAs("refreshToken") ) ) // 在可能失败的请求中尝试恢复 .exec( http("安全调用敏感API") .get("/api/sensitive/data") .header("Authorization", "Bearer ${accessToken}") .check(status.in(200, 401)) // 允许401 .check( // 如果是401，触发特定处理 status.is(401).saveAs("isUnauthorized") ) ) .doIf("${isUnauthorized}") { exec(refreshTokenChain) .exec( // 重试原请求 http("安全调用敏感API - 重试") .get("/api/sensitive/data") .header("Authorization", "Bearer ${accessToken}") .check(status.is(200)) ) .exec(session => session.remove("isUnauthorized")) }

模拟并发用户和会话

不同用户有不同的认证状态和行为。

模拟混合用户类型

// 定义不同用户情形 val registeredUserScenario = scenario("已注册用户") .exec(loginScenario) // 复用登录流程 .exec(/* 已认证用户的操作 */) val guestUserScenario = scenario("访客用户") .exec(/* 无需登录的公共操作 */) // 在同一个测试中注入不同比例的用户 setUp( registeredUserScenario.inject( rampUsers(100).during(30) ), guestUserScenario.inject( rampUsers(50).during(30) ) ).protocols(httpProtocol)

模拟用户登出和会话清理

.exec( http("用户登出") .post("/auth/logout") .header("Authorization", "Bearer ${accessToken}") .check(status.is(204)) ) .exec(session => { println(s"用户 ${session("username").as[String]} 已登出") session.removeAll("accessToken", "refreshToken", "loginTime") // 清理会话中的敏感数据 })

建议

令牌刷新方法

避免：不要所有用户在同一时间刷新。引入随机延迟：.pause(Random.nextInt(10).seconds)。

区分短令牌和长令牌：在Session中分开存储，使用不同刷新思路。

Session管理

最小化Session数据：只存储必要数据，避免内存过度使用。

使用.transform预处理数据：在Feeder读取数据时即完成清洗和格式化。

及时清理：在登出或会话结束时，使用.remove或.removeAll清理敏感数据。

并发控制和资源管理

限制最大并发刷新数：使用throttle限制令牌刷新端点压力。

setUp( loginScenario.inject(rampUsers(1000).during(60)) ).throttle( reachRps(50).in(10), // 限制刷新接口最大50 RPS holdFor(2 minutes) )

监控虚拟用户状态：通过Gatling日志或自定义钩子记录异常。

调试

记录重点信息：在.exec中打印令牌片段和状态。

证实Session状态：使用session => { println(session); session } 调试。

检查响应完整性：保证刷新后新令牌被正确存储。

Gatling实现认证会话管理是将令牌生命周期管理、条件性执行思路、差别化用户模拟和健壮的错误处理进行有机结合。