Ответ
Основным заголовком для передачи данных авторизации является Authorization. В контексте тестирования API мы постоянно работаем с ним для валидации защищенных эндпоинтов.
Наиболее распространенные схемы, с которыми я сталкивался:
-
Bearer Token (OAuth 2.0, JWT): Стандарт для современных API.
GET /api/user/profile HTTP/1.1 Host: example.com Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...В автотестах мы извлекали токен из ответа на запрос логина и подставляли его в последующие запросы.
-
Basic Authentication: Часто используется для доступа к внутренним или staging-окружениям.
Authorization: Basic dXNlcjE6c2VjcmV0UGFzc3dvcmQ=Где строка — это
base64кодировкаusername:password.
Другие заголовки, связанные с аутентификацией, которые важно проверять в тестах:
Cookie: Если используется сессия на основе кук. Мы проверяли их установку и валидность.- Пользовательские заголовки: Например,
X-API-Keyдля простой аутентификации по ключу. В тестах мы проверяли как позитивные сценарии (валидный ключ), так и негативные (неверный/отсутствующий ключ, истекший ключ).
