База для QA
К списку
Безопасность и авторизацияMiddleТехническое

Как QA-инженеру обнаружить и проверить токен авторизации в веб-приложении

Краткий ответ

Токен авторизации передается в HTTP-заголовке Authorization и хранится на клиенте, чаще всего в localStorage или sessionStorage. QA может отследить токен через DevTools браузера на вкладках Network и Application.

Развёрнуто

Краткий ответ

Токен авторизации обычно передается в заголовке Authorization HTTP-запроса и сохраняется в браузере клиента, преимущественно в localStorage или sessionStorage. QA-инженер может увидеть и проанализировать этот токен, используя инструменты разработчика браузера — вкладку Network для просмотра запросов и Application для изучения клиентского хранилища.

Как это работает

Токен авторизации — это уникальная строка, которая подтверждает права пользователя при взаимодействии с сервером. При аутентификации сервер выдает токен, который клиент должен прикреплять к каждому защищенному запросу.

  • Токен передается в HTTP-заголовке Authorization в формате, например, Bearer <token>.
  • Для хранения на клиенте часто используют localStorage (хранение между сессиями) или sessionStorage (хранение в рамках одной сессии).
  • QA может использовать инструменты разработчика (DevTools) браузера:
    • Вкладка Network позволяет увидеть заголовки запросов и ответов, включая токен в Authorization.
    • Вкладка Application — доступ к localStorage и sessionStorage, где может храниться токен.
Место хранения Особенности Безопасность
localStorage Доступно между сессиями Уязвимо к XSS-атакам
sessionStorage Живёт только в одной сессии Немного безопаснее, но XSS

Пример

GET /api/user/profile HTTP/1.1
Host: example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

В DevTools на вкладке Network можно открыть запрос и найти в заголовках поле Authorization с токеном. Вкладка Application > Storage > Local Storage покажет, если токен хранится там.

Что важно знать на собеседовании

  • Токен обычно передается в заголовке Authorization с префиксом Bearer.
  • Различия между localStorage и sessionStorage влияют на время жизни токена.
  • Использование DevTools — базовый навык для проверки авторизации.
  • Токены чувствительны к безопасности, особенно уязвимы к XSS.
  • Важно понимать, как токен влияет на сессию и доступ к ресурсам.

Тема: Безопасность и авторизация | Уровень: middle