我正在测试一个需要用户进行身份验证的应用程序,然后使用 cookie 来跟踪用户会话。如果身份验证失败,则会设置一个 cookie,将会话标识为属于未识别的用户。
不幸的是,身份验证是通过 Kerberos 或 NTLM 进行的,这在 JMeter 2.8 中无法完成。因此,我的计划如下:
- 使用 Internet Explorer 登录网站。
- 将标识会话的 cookie 从 IE 复制到 JMeter cookie 管理器中作为用户定义的 cookie。
- 使用 JMeter 测试应用程序
本质上,这是会话劫持。
我观察到的是(1)JMeter cookie 管理器似乎没有在第一个请求中向应用程序提供 cookie,(2)在第一个请求之后,应用程序将不同的 cookie 发送回 JMeter,以及(3)后续请求使用应用程序定义的 cookie,而不是我提供的那个。
所以我的问题是:
- 至少在理论上,所描述的方法是否合理?
- 应用程序定义的 cookie 是否总是覆盖用户定义的 cookie?
- 为什么 cookie 管理器可能不发送我的用户定义的 cookie?
提前致谢。