我正在创建一组自动化测试,需要提供用户名和密码才能登录到要测试的应用程序。我有一个函数LogOnToApplication(string username, string password),它接受字符串格式的登录信息,并登录到应用程序。目前,我正在定义两个字符串如下:
string username = "username";
string password = "supersecretpassword";
我需要将这段文本传递给我的函数
utilities.LogOnToApplication(username, password);
这种方法在我的测试中效果很好,但我知道这样做是有风险和不安全的。这些测试被广泛分发,以这种方式设置我的测试很容易导致安全漏洞。
从我的代码中删除username和password字符串的最佳方法是什么?我考虑过创建一个单独的文件来存储这些信息,并在需要信息时从该文件中提取,但这并不能解决问题,只是将敏感信息转移了位置。
正如我在评论中所写的,我认为你想要做的确切事情是不可能的。在某个时候,你的程序将需要运行以下代码行utilities.LogOnToApplication(username, password);其中用户名和密码是明文字符串。如果程序正在我的计算机上运行,我可以连接调试器并获取数据。有一些方法可以使它更难,但这场战斗是黑客和游戏开发人员之间的,而失败者就是你试图加入的一方。
最安全的做法是重新考虑测试-你真的需要“广泛分发”吗?如果不需要,那就不要。
有一些方法可以使获取u/p更加困难,这完全取决于你愿意投入多少努力。
您可以将它们放在 App.Config 文件的 AppSettings 下,并使用 ConfigurationManager 获取它们。
设置代码:
<appSettings>
<add key="username" value="lol" />
<add key="password" value="hunter2" />
</appSettings>
并且访问它们
var username = ConfigurationManager.AppSetting["username"];
var password = ConfigurationManager.AppSetting["password"];
encrypt方法,那么这如何解决硬编码密码的问题呢? - Pseudo Sudo