現在越來越多的網站為了安全性或是防止Spam的侵害,采用了驗證碼的校驗技術。
簡單地說,驗證碼就是在進行登錄或是內容提交的時候,頁面上會隨機出現壹個人工可識別,但機器不可識別的驗證字符串(壹般是采用背景、扭曲等方式產生的圖片),要求登錄或是提交內容時同時輸入這個驗證碼。
驗證碼可以有效防止對口令的刺探和所謂的網絡推廣軟件帶來的大量的Spam內容,目前已經被許多Internet或是Intranet應用接受為標準的實現方式。
但對性能測試來說,這種驗證碼又帶來了很大的問題。
最突出的問題是,性能測試工具本身是自動化工具,由於這種驗證碼采用的是“防止自動化工具嘗試”的方法,因此,在錄制了腳本之後會發現,很難對腳本進行調整,以使其適應驗證碼驗證的需要。
已經不止壹次有人提到這個問題,並詢問有沒有較好的解決方案。
對這個問題,我個人的看法是,基本上可以考慮從三個途徑來解決該問題:1、第壹種方法,也是最容易想到的,在被測系統中暫時屏蔽驗證功能,也就是說,臨時修改應用,無論用戶輸入的是什麽驗證碼,都認為是正確的。
這種方法最容易實現,對測試結果也不會有太大的影響(當然,這種方式去掉了“驗證驗證碼”這個環節,不過這個環節本來就很難成為系統性能瓶頸)。
但這種方法有壹個致命的問題:如果被測系統是壹個實際已上線的系統,屏蔽驗證功能會對已經在運行的業務造成非常大的安全性的風險,因此,對於已上線的系統來說,用這種方式就不合適了;2、第二種方法,在第壹種方法的基礎上稍微進行壹些改進。
第壹種方法帶來了很大的安全性問題,那麽我們可以考慮,不取消驗證,但在其中留壹個後門,我們設定壹個所謂的“萬能驗證碼”,只要用戶輸入這個“萬能驗證碼”,我們就驗證通過,否則,還是按照原先的驗證方式進行驗證。
這種方式仍然存在安全性的問題,但由於我們可以通過管理手段將“萬能驗證碼”控制在壹個小的範圍內,而且只在性能測試期間保留這個小小的後門,相對第壹種方法來說,在安全性方面已經有較大的改進了;3、如果安全性對應用來說真的是至關重要的,不容許有壹絲壹毫的閃失,那我們還可以用更進壹步的方法來處理這個問題。
壹般的性能測試工具(MI的LR、Seague的Silkperformer等)都能夠調用外部的DLL或是組件接口,因此,廣西電腦培訓/建議可以考慮獲得“驗證碼驗證”部分的實現,寫壹個驗證碼獲取的DLL,在測試腳本中進行調用即可。