source: trunk/server/www/vendors/simpletest/docs/fr/authentication_documentation.html @ 6

Last change on this file since 6 was 6, checked in by sander, 11 years ago

Added SimpleTest? test framework

File size: 13.6 KB
Line 
1<html>
2<head>
3<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
4<title>Documentation Simple Test : tester l'authentification</title>
5<link rel="stylesheet" type="text/css" href="docs.css" title="Styles">
6</head>
7<body>
8<div class="menu_back"><div class="menu">
9<a href="index.html">SimpleTest</a>
10                |
11                <a href="overview.html">Overview</a>
12                |
13                <a href="unit_test_documentation.html">Unit tester</a>
14                |
15                <a href="group_test_documentation.html">Group tests</a>
16                |
17                <a href="mock_objects_documentation.html">Mock objects</a>
18                |
19                <a href="partial_mocks_documentation.html">Partial mocks</a>
20                |
21                <a href="reporter_documentation.html">Reporting</a>
22                |
23                <a href="expectation_documentation.html">Expectations</a>
24                |
25                <a href="web_tester_documentation.html">Web tester</a>
26                |
27                <a href="form_testing_documentation.html">Testing forms</a>
28                |
29                <a href="authentication_documentation.html">Authentication</a>
30                |
31                <a href="browser_documentation.html">Scriptable browser</a>
32</div></div>
33<h1>Documentation sur l'authentification</h1>
34        This page...
35        <ul>
36<li>
37            Passer au travers d'une <a href="#basique">authentification HTTP basique</a>
38        </li>
39<li>
40            Tester l'<a href="#cookies">authentification basée sur des cookies</a>
41        </li>
42<li>
43            Gérer les <a href="#session">sessions du navigateur</a> et les timeouts
44        </li>
45</ul>
46<div class="content">
47       
48            <p>
49                Un des secteurs à la fois délicat et important lors d'un test
50                de site web reste la sécurité. Tester ces schémas est au coeur
51                des objectifs du testeur web de SimpleTest.
52            </p>
53       
54        <p><a class="target" name="basique"><h2>Authentification HTTP basique</h2></a></p>
55            <p>
56                Si vous allez chercher une page web protégée
57                par une authentification basique, vous hériterez d'une entête 401.
58                Nous pouvons représenter ceci par ce test...
59<pre>
60class AuthenticationTest extends WebTestCase {<strong>
61    function test401Header() {
62        $this-&gt;get('http://www.lastcraft.com/protected/');
63        $this-&gt;showHeaders();
64    }</strong>
65}
66</pre>
67                Ce qui nous permet de voir les entêtes reçues...
68                <div class="demo">
69                    <h1>File test</h1>
70<pre style="background-color: lightgray; color: black">
71HTTP/1.1 401 Authorization Required
72Date: Sat, 18 Sep 2004 19:25:18 GMT
73Server: Apache/1.3.29 (Unix) PHP/4.3.4
74WWW-Authenticate: Basic realm="SimpleTest basic authentication"
75Connection: close
76Content-Type: text/html; charset=iso-8859-1
77</pre>
78                    <div style="padding: 8px; margin-top: 1em; background-color: green; color: white;">1/1 test cases complete.
79                    <strong>0</strong> passes, <strong>0</strong> fails and <strong>0</strong> exceptions.</div>
80                </div>
81                Sauf que nous voulons éviter l'inspection visuelle,
82                on souhaite que SimpleTest puisse nous dire si oui ou non
83                la page est protégée. Voici un test en profondeur sur nos entêtes...
84<pre>
85class AuthenticationTest extends WebTestCase {
86    function test401Header() {
87        $this-&gt;get('http://www.lastcraft.com/protected/');<strong>
88        $this-&gt;assertAuthentication('Basic');
89        $this-&gt;assertResponse(401);
90        $this-&gt;assertRealm('SimpleTest basic authentication');</strong>
91    }
92}
93</pre>
94                N'importe laquelle de ces assertions suffirait,
95                tout dépend de la masse de détails que vous souhaitez voir.
96            </p>
97            <p>
98                La plupart du temps, nous ne souhaitons pas tester
99                l'authentification en elle-même, mais plutÃŽt
100                les pages protégées par cette authentification.
101                DÚs que la tentative d'authentification est reçue,
102                nous pouvons y répondre à l'aide d'une réponse d'authentification :
103<pre>
104class AuthenticationTest extends WebTestCase {
105    function testAuthentication() {
106        $this-&gt;get('http://www.lastcraft.com/protected/');<strong>
107        $this-&gt;authenticate('Me', 'Secret');</strong>
108        $this-&gt;assertTitle(...);
109    }
110}
111</pre>
112                Le nom d'utilisateur et le mot de passe seront désormais
113                envoyés à chaque requête vers ce répertoire
114                et ses sous-répertoires.
115                En revanche vous devrez vous authentifier à nouveau
116                si vous sortez de ce répertoire mais SimpleTest est assez
117                intelligent pour fusionner les sous-répertoires dans un même domaine.
118            </p>
119            <p>
120                Vous pouvez gagner une ligne en définissant
121                l'authentification au niveau de l'URL...
122<pre>
123class AuthenticationTest extends WebTestCase {
124    function testCanReadAuthenticatedPages() {
125        $this-&gt;get('http://<strong>Me:Secret@</strong>www.lastcraft.com/protected/');
126        $this-&gt;assertTitle(...);
127    }
128}
129</pre>
130                Si votre nom d'utilisateur ou mot de passe comporte
131                des caractÚres spéciaux, alors n'oubliez pas de les encoder,
132                sinon la requête ne sera pas analysée correctement.
133                De plus cette entête ne sera pas envoyée aux
134                sous requêtes si vous la définissez avec une URL absolue.
135                Par contre si vous naviguez avec des URL relatives,
136                l'information d'authentification sera préservée.
137            </p>
138            <p>
139                 Pour l'instant, seule l'authentification de base est implémentée
140                 et elle n'est réellement fiable qu'en tandem avec une connexion HTTPS.
141                 C'est généralement suffisant pour protéger
142                 le serveur testé des regards malveillants.
143                 Les authentifications Digest et NTLM pourraient être ajoutées prochainement.
144            </p>
145       
146        <p><a class="target" name="cookies"><h2>Cookies</h2></a></p>
147            <p>
148                L'authentification de base ne donne pas assez de contrÃŽle
149                au développeur Web sur l'interface utilisateur.
150                Il y a de forte chance pour que cette fonctionnalité
151                soit codée directement dans l'architecture web
152                à grand renfort de cookies et de timeouts compliqués.
153            </p>
154            <p>
155                Commençons par un simple formulaire de connexion...
156<pre>
157&lt;form&gt;
158    Username:
159    &lt;input type="text" name="u" value="" /&gt;&lt;br /&gt;
160    Password:
161    &lt;input type="password" name="p" value="" /&gt;&lt;br /&gt;
162    &lt;input type="submit" value="Log in" /&gt;
163&lt;/form&gt;
164</pre>
165                Lequel doit ressembler à...
166            </p>
167            <p>
168                <form class="demo">
169                    Username:
170                    <input type="text" name="u" value=""><br>
171                    Password:
172                    <input type="password" name="p" value=""><br>
173                    <input type="submit" value="Log in">
174                </form>
175            </p>
176            <p>
177                Supposons que, durant le chargement de la page,
178                un cookie ait été inscrit avec un numéro d'identifiant de session.
179                Nous n'allons pas encore remplir le formulaire,
180                juste tester que nous pistons bien l'utilisateur.
181                Voici le test...
182<pre>
183class LogInTest extends WebTestCase {
184    function testSessionCookieSetBeforeForm() {
185        $this-&gt;get('http://www.my-site.com/login.php');<strong>
186        $this-&gt;assertCookie('SID');</strong>
187    }
188}
189</pre>
190                Nous nous contentons ici de vérifier que le cookie a bien été défini.
191                Etant donné que sa valeur est plutÃŽt énigmatique,
192                elle ne vaut pas la peine d'être testée.
193            </p>
194            <p>
195                Le reste du test est le même que dans n'importe quel autre formulaire,
196                mais nous pourrions souhaiter nous assurer
197                que le cookie n'a pas été modifié depuis la phase de connexion.
198                Voici comment cela pourrait être testé :
199<pre>
200class LogInTest extends WebTestCase {
201    ...
202    function testSessionCookieSameAfterLogIn() {
203        $this-&gt;get('http://www.my-site.com/login.php');<strong>
204        $session = $this-&gt;getCookie('SID');
205        $this-&gt;setField('u', 'Me');
206        $this-&gt;setField('p', 'Secret');
207        $this-&gt;clickSubmit('Log in');
208        $this-&gt;assertWantedPattern('/Welcome Me/');
209        $this-&gt;assertCookie('SID', $session);</strong>
210    }
211}
212</pre>
213                Ceci confirme que l'identifiant de session
214                est identique avant et aprÚs la connexion.
215            </p>
216            <p>
217                Nous pouvons même essayer de duper notre propre systÚme
218                en créant un cookie arbitraire pour se connecter...
219<pre>
220class LogInTest extends WebTestCase {
221    ...
222    function testSessionCookieSameAfterLogIn() {
223        $this-&gt;get('http://www.my-site.com/login.php');<strong>
224        $this-&gt;setCookie('SID', 'Some other session');
225        $this-&gt;get('http://www.my-site.com/restricted.php');</strong>
226        $this-&gt;assertWantedPattern('/Access denied/');
227    }
228}
229</pre>
230                Votre site est-il protégé contre ce type d'attaque ?
231            </p>
232       
233        <p><a class="target" name="session"><h2>Sessions de navigateur</h2></a></p>
234            <p>
235                Si vous testez un systÚme d'authentification,
236                la reconnexion par un utilisateur est un point sensible.
237                Essayons de simuler ce qui se passe dans ce cas :
238<pre>
239class LogInTest extends WebTestCase {
240    ...
241    function testLoseAuthenticationAfterBrowserClose() {
242        $this-&gt;get('http://www.my-site.com/login.php');
243        $this-&gt;setField('u', 'Me');
244        $this-&gt;setField('p', 'Secret');
245        $this-&gt;clickSubmit('Log in');
246        $this-&gt;assertWantedPattern('/Welcome Me/');<strong>
247       
248        $this-&gt;restart();
249        $this-&gt;get('http://www.my-site.com/restricted.php');
250        $this-&gt;assertWantedPattern('/Access denied/');</strong>
251    }
252}
253</pre>
254                La méthode <span class="new_code">WebTestCase::restart()</span> préserve les cookies
255                dont le timeout a expiré, mais conserve les cookies temporaires ou expirés.
256                Vous pouvez spécifier l'heure et la date de leur réactivation.
257            </p>
258            <p>
259                L'expiration des cookies peut être un problÚme.
260                Si vous avez un cookie qui doit expirer au bout d'une heure,
261                nous n'allons pas mettre le test en veille en attendant
262                que le cookie expire...
263            </p>
264            <p>
265                Afin de provoquer leur expiration,
266                vous pouvez dater manuellement les cookies,
267                avant le début de la session.
268<pre>
269class LogInTest extends WebTestCase {
270    ...
271    function testLoseAuthenticationAfterOneHour() {
272        $this-&gt;get('http://www.my-site.com/login.php');
273        $this-&gt;setField('u', 'Me');
274        $this-&gt;setField('p', 'Secret');
275        $this-&gt;clickSubmit('Log in');
276        $this-&gt;assertWantedPattern('/Welcome Me/');
277        <strong>
278        $this-&gt;ageCookies(3600);</strong>
279        $this-&gt;restart();
280        $this-&gt;get('http://www.my-site.com/restricted.php');
281        $this-&gt;assertWantedPattern('/Access denied/');
282    }
283}
284</pre>
285                AprÚs le redémarrage, les cookies seront plus vieux
286                d'une heure et que tous ceux dont la date d'expiration
287                sera passée auront disparus.
288            </p>
289       
290    </div>
291        References and related information...
292        <ul>
293<li>
294            La page du projet SimpleTest sur <a href="http://sourceforge.net/projects/simpletest/">SourceForge</a>.
295        </li>
296<li>
297            La page de téléchargement de SimpleTest sur <a href="http://www.lastcraft.com/simple_test.php">LastCraft</a>.
298        </li>
299<li>
300            <a href="http://simpletest.org/api/">L'API du développeur pour SimpleTest</a> donne tous les détails sur les classes et les assertions disponibles.
301        </li>
302</ul>
303<div class="menu_back"><div class="menu">
304<a href="index.html">SimpleTest</a>
305                |
306                <a href="overview.html">Overview</a>
307                |
308                <a href="unit_test_documentation.html">Unit tester</a>
309                |
310                <a href="group_test_documentation.html">Group tests</a>
311                |
312                <a href="mock_objects_documentation.html">Mock objects</a>
313                |
314                <a href="partial_mocks_documentation.html">Partial mocks</a>
315                |
316                <a href="reporter_documentation.html">Reporting</a>
317                |
318                <a href="expectation_documentation.html">Expectations</a>
319                |
320                <a href="web_tester_documentation.html">Web tester</a>
321                |
322                <a href="form_testing_documentation.html">Testing forms</a>
323                |
324                <a href="authentication_documentation.html">Authentication</a>
325                |
326                <a href="browser_documentation.html">Scriptable browser</a>
327</div></div>
328<div class="copyright">
329            Copyright<br>Marcus Baker 2006
330        </div>
331</body>
332</html>
Note: See TracBrowser for help on using the repository browser.