`
JerryWang_SAP
  • 浏览: 1031360 次
  • 性别: Icon_minigender_1
  • 来自: 成都
文章分类
社区版块
存档分类
最新评论

使用jMeter对基于SAP ID service进行Authentication的Restful API进行并发测试

阅读更多

这篇文章本来Jerry只在SAP社区上写了英文版的,可以通过点击文末的“阅读原文”获得。后来有两位做Marketing Cloud开发的德国同事,写邮件询问关于文章的更多细节,声称这种方式对他们自己的API性能测试很有用,所以我觉得还是值得用中文再写一遍。

 

在SAP官网api.sap.com里有大量发布的API,方便合作伙伴和客户自开发应用同SAP解决方案进行集成。

 

比如Jerry上个月做的一个项目,就是和国内一家专注于提供人脸识别技术解决方案的企业合作, 用户通过微信扫码从而完成人脸识别后,在用户授权的情况下,会调用SAP Marketing Cloud的contact API,生成对应的contact数据,并且将人脸识别得出的面部特征码通过Marketing Cloud扩展字段的方式一并存入contact数据中。

因为这个项目最后会在2019年6月5日于上海举行的SAP云大会上展示,所以当时Jerry完成集成工作后心想,还是得提前测试一下咱们的Marketing Cloud在响应并发请求时的性能, 做到心里有数。

 

我们在SAP上海云大会上演示的场景是,将SAP Marketing Cloud的Launchpad通过大屏幕投影出来,参会嘉宾完成人脸识别后,Marketing Cloud contact创建API自动被调用,在系统生成contact数据,并且Launchpad contact tile的计数器加一。

 

 

 

所以下一步就是如何模拟大量对Marketing Cloud API的并发请求。

对于程序员来说,最容易想到的方式就是自己动手写一个程序来发送大量请求。Jerry选择的最简单的编程方式,在Java程序里新建大量线程,每个线程发送一个请求,当然也可以直接用JDK里提供的线程池库。我的Java程序源代码在github上:

https://github.com/i042416/JavaTwoPlusTwoEquals5/tree/master/src/odata

除了自己动手编写代码外,还可以重用一些API测试工具来达到同样的目的。Postman是一个API开发人员常用的接口调试利器,它也有定义变量和简易的编程功能:

 

可以通过称之为Collection Runner的功能,一键运行Collection里的多个请求。

 

Jerry在这篇SAP社区博客里详细介绍过Postman的编程:

Just a single click to test SAP OData Service which needs CSRF token validation
https://blogs.sap.com/2019/06/10/sap-just-a-single-click-to-test-sap-odata-service-which-needs-csrf-token-valid/

Jerry还在成都C4C开发团队时,组内同事就告诉过我,jMeter是另一个功能强大的基于Java的API压力测试工具。所以这次我选择用jMeter来对API做压力测试。

下文介绍的内容需要大家对jMeter的使用有最基本的了解,如果还不太熟悉的朋友,可以先查阅jMeter的官方文档。

总的思路就是使用jMeter提供的Thread Group(线程组)和控制器这两个工具。Thread Group帮助工具使用者实现了通过多线程发送HTTP请求的功能,比如下图设定的100,意思是通过100个线程同时发送请求。

 

而涉及到对系统进行写操作的SAP API,比如新建,修改或者删除数据的SAP OData服务,在请求的HTTP头部必须附带防止跨域请求伪造攻击的CSRF token(有时又称XSRF token:Cross-site request forgery). 我们可以将从服务器获取CSRF token的请求和真正调用contact API的请求放到同一控制器里,这样能确保同一线程内,拿token和创建contact这两个请求依次执行。

 

SAP云平台的官网上有一个帮助文档,对用户访问SAP云平台上的服务的Authentication流程做了清晰的阐述:

https://cloudplatform.sap.com/scenarios/usecases/authentication.html

 

这张图描述了在Authentication场景下,几个名词User(有时称为Client), Service Provider和Identity Provider(途中简写成IdP)的相互作用关系。

虽然Jerry本文介绍的场景,我用jMeter消费的是Marketing Cloud上的服务,而非SAP云平台上的服务,不过这些服务对应的Idp都是SAP ID service,即accounts.sap.com, 因此Authentication原理仍然相同。

我们牢牢记住这张图的几个步骤,因为我们接下来用jMeter消费Marketing Cloud API时,同样要遵循这种Authentication流。

我们先用Chrome访问SAP Marketing Cloud Fiori Launchpad,来深入理解图中介绍的Authentication流程。

  1. 浏览器打开SAP Marketing Cloud Fiori Launchpad链接,HTTP请求发送到了Marketing Cloud系统,后者可以视为Service Provider。
  1. Marketing Cloud把请求通过HTTP 302重定向了它预先配置好的IdP上去,即SAP ID service(也就是account.sap.com).
 

关于什么是SAP ID service,可以查看SAP官方帮助文档:

https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/en-US/d6a8db70bdde459f92f2837349f95090.html

  1. IdP的职责是完成实际的用户认证工作,它给用户返回一个登录页面,要求其输入用户名和密码。
 

上图显示的是SAP ID Service的登录页面,UI虽然简单,但是这个页面的源代码里存在很多隐藏字段。

用Chrome开发者工具能够发现这些隐藏字段:

 

xsrfProtection
spId
spName
authenticity_token
idpSSOEndpoint

这些字段都是在SAP ID Service的服务器端生成,然后返回给客户端。

  1. 用户输入密码点击登录按钮后,用户输入的用户名和密码,同第三步介绍的登录页面的隐藏字段,会一齐返回给SAP ID Service服务端。可以在Chrome开发者工具里观察到这些字段位于HTTP请求头部。
 
  1. IdP完成用户认证,颁发一个"assertion"响应,值存储于HTTP响应头部的SAMLResponse字段里。
 

这个字段的SAML表明这是一个基于SAML协议的认证过程,把上图Chrome开发者工具里观察到的SAMLResponse字段值通过BASE64解码,得到下图的XML格式的assertion内容:

 

上图第一处用红色矩形框高亮的字段是assertion的状态,值为success. 因为SAP ID Service和Marketing Cloud系统配置为互相信任,所以这意味着SAP ID Service通知Marketing Cloud,这个用户的认证已经通过了。

SAML协议规范的官方文档:

http://saml.xml.org/saml-specifications

有了上述的理论基础后,进行jMeter项目的配置工作思路也就清楚了。

我把jMeter项目的工程文件放到我的Github上了,方便大家重用:

https://github.com/i042416/KnowlegeRepository/blob/master/ABAP/C4COData/jMeter/01-contact-creation.jmx

在jMeter里,我们按照SAP官网认证架构图的6个步骤来配置:

 
  1. 使用jMeter提供的正则表达式提取器,将认证流程第3个步骤,IdP返回的登录页面的5个隐藏字段的值提取出来,存储成jMeter变量:
 

下图显示了这些隐藏字段的值被成功提取出来并存储成jMeter变量:

 
  1. 把第一步提取出并存储在jMeter变量中的五个字段的值(下图红色)的值,再加上用户手动输入的用户名和密码(下图蓝色), 作为请求的头部字段,一齐提交给SAP ID service:
 

登录成功后,收到了服务器端返回的Cookie值:

 
  1. 发送新的请求给服务器,获取CSRF token. 这个请求的响应里包含了两个下图高亮的Cookie,需要同样存储成jMeter变量,以供最后一个请求使用。
 
  1. 最后一个步骤,将前一步获取到的CSRF token附加到HTTP请求字段中,同时带上前一步服务器返回的两个Cookie字段:
 

至此这个jMeter项目的配置工作就完成了,其优于Java编程和Postman之处在于我们不需要编写一行代码,我们对API进行并发测试这个需求的相关功能点全部能够通过jMeter里的配置完成。

 

最后简单测试一下并发请求的响应时间:

 

我在使用jMeter调用contact API创建工作时用到了简单的随机数生成器,在contact的姓后面加上了简单的随机数,这是最后通过jMeter生成的contact在Marketing Cloud里的显示:

 

最后一步就是把SAP Marketing Cloud Launchpad里的contact tile的计数器刷新间隔设置成10秒刷新一次:

 

系统显示,在2019年6月5日上海SAP云大会这个演示场景的展台上,一共有276个嘉宾完成了人脸识别后的Marketing Cloud contact注册流程。

 

要获取更多Jerry的原创文章,请关注公众号"汪子熙":

 

 
0
0
分享到:
评论

相关推荐

    WEBAPI多线程并发测试工具

    标题"WEBAPI多线程并发测试工具"指出,这是一个专门针对Web API进行多线程并发测试的工具。Web API通常指的是应用程序接口,它们允许不同的服务之间进行通信,以实现数据交换和功能整合。多线程并发测试则是验证在多...

    使用JMeter进行性能测试

    【使用JMeter进行性能测试】 性能测试是评估软件系统在高负载或大数据量下的稳定性和效率的关键步骤。Apache JMeter是一款强大的、开放源代码的性能测试工具,适用于Web应用、FTP服务器、数据库和其他通用协议。它...

    JMeter 之TCP服务器并发压力测试

    本文将详细介绍如何使用JMeter进行TCP服务器的并发压力测试,包括环境搭建、软件下载与安装、以及具体的操作实例。 首先,要使用JMeter进行测试,需要确保你的环境中安装了JDK(Java开发工具包)。JMeter要求JDK...

    jmeter 测试工具 使用java自测 并发测试 环境测试 压力测试

    1.能够对HTTP和FTP服务器进行压力和性能测试, 也可以对任何数据库进行同样的测试(通过JDBC)。 2.完全的可移植性和100% 纯java。 3.完全 Swing 和轻量组件支持(预编译的JAR使用 javax.swing.*)包。 4.完全多线程 ...

    jmeter进行api接口测试示例

    在进行API接口测试时,JMeter可以帮助我们验证API的功能和性能,比如测试API的响应时间、吞吐量、并发处理能力等。JMeter支持多种类型的API测试,包括但不限于HTTP、HTTPS、FTP、数据库以及自定义接口等。 本文档...

    使用Jmeter测试java请求

    Apache JMeter是一款广泛应用的开源性能测试工具,尤其适合对Web应用进行压力和负载测试。在这个场景中,我们将探讨如何利用JMeter来测试Java请求。 标题“使用Jmeter测试Java请求”表明我们要关注的是在JMeter中...

    jmeter测试API脚本

    在软件开发和性能测试领域,JMeter是一款广泛应用的开源工具,主要用于模拟大量用户并发访问Web应用或API接口,从而评估系统性能和稳定性。本教程将详细介绍如何使用JMeter来编写和执行针对API的POST、DELETE、GET...

    jmeter4.0进行微信小程序测试报告(jmeter性能测试教程)

    微信小程序的广泛使用使得其性能测试变得至关重要,本文将详细介绍如何使用JMeter 4.0这一强大的性能测试工具对微信小程序进行压力测试。JMeter是一款由Apache开发的、开源的、适用于Web应用的负载和性能测试工具,...

    Jmeter并发测试工具

    JMeter主要是用来进行负载和性能测试。...JMeter通常被用来对一些静态的或者动态...简单的说:是Apache下的一个测试工具,可以对服务器进行并发测试,测试服务器所能承受的并发量,以各种曲线图或者数据表展示出测试数据。

    jmeter-压力测试报告-超细

    本文将深入探讨JMeter的使用方法、重要功能以及如何进行超细粒度的压力测试报告分析。 首先,JMeter是一款由Apache软件基金会开发的负载和性能测试工具,适用于Web应用、FTP服务器、数据库和其他协议的服务。它支持...

    Jemter多用户并发测试。

    在本文中,我们将详细介绍如何使用 JMeter 进行多用户并发测试,包括录制脚本、参数化、线程组控制和结果分析等方面的知识点。 录制脚本 在 JMeter 中,可以使用 Badboy 工具录制脚本。 Badboy 是一个功能强大的...

    使用jmeter做ws压力测试

    这篇博客文章“使用jmeter做ws压力测试”将深入探讨如何利用JMeter进行Web服务的压力测试。 首先,了解JMeter的基本结构至关重要。JMeter由线程组、采样器、监听器、断言、定时器、配置元件等组件构成。线程组模拟...

    JMETER插件,进行IBM MQ测试

    在IT行业中,性能测试是...通过熟练掌握插件的使用,你可以对MQ系统进行全面的压力、负载和稳定性测试,确保在生产环境中能够承受高并发和大数据量的挑战。对于任何依赖IBM MQ的企业,这款插件都是必不可少的测试利器。

    Restful压力测试工具Apache Jmeter

    ### 使用JMeter进行RESTful服务压力测试 对于RESTful服务的压力测试,JMeter提供了HTTP Samplers。用户可以创建线程组(代表并发用户),设置请求参数,包括URL、HTTP方法(GET、POST、PUT、DELETE等)以及请求头。...

    使用JMeter测试Web应用

    使用JMeter测试Web应用 JMeter是一个功能强大的测试工具,专门用于测试Web应用的性能和可靠性。以下是使用JMeter测试Web应用的知识点: 一、安装和启动JMeter * 下载JMeter的release版本,并将其解压缩到指定目录...

    Jmeter对HTTP请求压力测试、并发测试的简单使用方法

    1.Jmeter对HTTP请求压力测试、并发测试的简单使用方法 2.HTTP请求压力测试、并发测试的简单使用方法 3.Jmeter对HTTP请求压力测试、并发测试的简单使用方法

    使用JMeter 对Web服务器压力测试

    使用JMeter 对Web服务器压力测试

    jmeter mqtt服务器压力测试

    本文将详细介绍如何使用JMeter进行MQTT服务器的压力测试。 首先,我们需要理解MQTT协议。MQTT是一种轻量级的发布/订阅消息传输协议,特别适合于资源有限的设备和低带宽、高延迟的网络环境。在物联网场景中,它用于...

Global site tag (gtag.js) - Google Analytics