当前位置：首页 > news >正文

【自动化测试】web自动化测试验证码如何测？如何处理验证码问题？解决方案......

news 2026/2/9 3:29:47

目录：导读

- 前言
- 一、Python编程入门到精通
- 二、接口自动化项目实战
- 三、Web自动化项目实战
- 四、App自动化项目实战
- 五、一线大厂简历
- 六、测试开发DevOps体系
- 七、常用自动化测试工具
- 八、JMeter性能测试
- 九、总结（尾部小惊喜）

前言

在对安全性有要求的软件（系统）中都存在验证码，那我们应该怎么进行测试呢，在自动化测试中又该怎么通过验证码使自动化顺利进行下去呢？

验证码的由来和作用
验证码，是一种区分其用户是计算机还是人类的公共全自动程序算法。这个验证码形式的问题是由计算生成并评判，但必须只允许有意识的人才能解答。

现在被广泛用于安全信息领域，以有效防范恶意的程序算法对信息系统进行暴力性的攻击破解，比如：防范密码破解、信息盗窃、钱财转移等恶意行为。

同时也发展为多种形式的验证码。常见的有手机短信验证码、Email验证码、视频验证码、手机语音验证码、拼图验证码、静态图文验证码、GIF动态图文验证码等，其中图文验证码是网站验证中最常见的一种。

验证码的存储
既然在网页中的验证码是图文验证码，以图片文字的形式显示出来，那么在网页源码可能存在于以下几种方式：

存储于文件中；
HTML语句中直接放入经过编码的验证码信息；
HTML语句中直接放入请求的验证码URL信息；
计算机生成验证码后，一般以session方式将验证码存储在服务器进程；
存储于redis等nosql数据库中，通过调用nosql的客户端驱动查询；
存储于数据库，通过进程内的接口进行查询或者直接进行数据库查询；
计算机服务器生成验证码后，就会缓存起来，原因在于方便用户提交验证码时进行验证。

验证码的原理
当用户需要验证时，服务器端将内存中临时生成的验证码发至客户端，为了其安全性，通常在发送后的一个有效时间内（比如：1分钟）就会删除其验证码，用户在有效时间内输入验证答案。其具体过程如下：

首先，前端网页通过一个URL来对后端进行请求；

接着，后端接收到前端的请求后，它将生成一个随机图文，然后把该随机图文存储于与对应客户端的session中；

然后，将该随机图文进行图像处理，使计算机难以识别而人类容易辨别，经过处理的图文（.png、.jpg等多种格式）直接发至前端；

最后，前端验证用户输入图文的验证答案，与后端生成的验证码是否一致，若一致则成功登录获取消息，反之不能通过。

如何测试验证码？

测试验证码，既要测其功能性，又要测其安全性；手动测试和自动化测试均不可缺少，相互互补，尽可能覆盖缺陷。

手动测试
手动测试的核心，测试用例的设计。
针对验证码测试的测试用例主要参考点如下：

有效时间内	有效时间内
输入图文中正确的顺序的验证码	输入图文中正确的顺序的验证码
输入图文中正确的倒序的验证码	输入图文中正确的倒序的验证码
输入已验证过的正确验证码	输入已验证过的正确验证码
输入正确验证码的部分	输入正确验证码的部分
不输入任何信息	不输入任何信息
空格输入	空格输入
空格+正确验证码	空格+正确验证码
正确验证码+空格	正确验证码+空格
输入验证码+空格+验证码”	输入验证码+空格+验证码”
输入特殊字符	输入特殊字符
…	…

根据完善的测试用例一步一步执行，最大化做到细致精准。

自动化测试

针对验证码的性质，随机生成的验证码不能使计算机简单的识别，这一点使自动化测试遇到了一定的困难瓶颈，通俗的说：验证码和自动化测试是对着干的。

因此，自动化工具测试到验证码时，针对不同程度安全性的要求，使用相应效率的解决方案。其解决方案包括：注释验证码、设置验证码开关、设置万能验证码、记录Cookies信息、验证码图文识别等。

注释验证码模块（现在很少用这种方案）
这是在安全性要求较低的情况下的解决方案，经过项目组的沟通，在测试阶段，开发人员将验证码模块的相关代码注释掉，等上线时取消注释。

当然这样给测试人员在测试阶段减小了麻烦，但是上线正式生产环境中，该验证码模块可能给系统带来一定的障碍风险。

设置验证码开关（也不推荐）
项目组的沟通，开发人员设置一个验证码开关模块，当手动测试时，按着测试用例进行执行；当自动化测试时，关闭验证码模块。

设置万能验证码（当前主流做法）
这是在安全性要求相对较高的情况下的解决方案，经过项目组的沟通，开发人员设置一个万能验证码。在设置万能验证码时，应当区分测试环境与生产环境。

比如：判断当前是否是测试环境（通常情况下根据读取服务器配置文件就可判断是否是测试环境）。如果是，则输入万能验证码直接通过；如果不是，则继续按着正常的验证流程去验证。

设置万能验证码的解决方案与注释验证码的解决方案相比，该方案设置的万能验证码模块的代码可以上线，几乎不会给系统带来障碍风险，同时这样，手动测试与自动化测试均很方便。

记录Cookies信息（不太推荐，对于复杂的验证方式这种方式可以考虑）
通过向browser添加Cookies，这样就可以绕过介入的验证码，而在用户介入前通过add_cookie( )方法将介入信息添加到Cookies，这样一来，若再一次访问系统时将自动的介入。

但是记录Cookies还是存在不足。一方面体现在有效Cookies是有时间限制，一旦过期无效，再次访问系统时需要重新获取；另一方面体现在如果找不到输入框名，就无法向输入框内输入介入信息。

验证码图文识别（作为安全性测试的一部分）
如果测试人员用图文识别技术解决了自动化测试动态随机验证码，那这也相当于产品的一个Bug，使其系统并不是那么具有安全性。

但为了系统的完整性，针对高级别程度安全需求的系统，利用验证码图文识别技术进行测试。

OCR图像识别（同样作为安全性测试的一部分）
当前OCR图像识别技术已经比较成熟，能够很容易地识别出简单的图文验证码。对此大多数网站都逐步提升了图文验证码的复杂度。

比如：加噪、扭曲图文等操作。当然这种对抗也正是系统不断升级的原因，敌对性发展。

针对图文验证码的加噪，测试时应当对图文先降噪，再识别；针对图文验证码的扭曲，测试时应当Machine Learning、Pattern Recognition等技术算法提取图文特征，再匹配正确的图文验证码。

Python-tesseract图像识别（同样可作为安全性测试的一部分）
除了OCR图像识别技术，还可以通过Python-tesseract识别图文验证码，需要用到tesseract-ocr图像识别工具，能够读取.png、.jpg、.gif等常规格式的图片文件。

下面是我整理的2023年最全的软件测试工程师学习知识架构体系图

一、Python编程入门到精通

请添加图片描述

二、接口自动化项目实战

请添加图片描述

三、Web自动化项目实战

请添加图片描述

四、App自动化项目实战

请添加图片描述

五、一线大厂简历

请添加图片描述

六、测试开发DevOps体系

请添加图片描述

七、常用自动化测试工具

请添加图片描述

八、JMeter性能测试

请添加图片描述

九、总结（尾部小惊喜）

只有你学会把自己已有的成绩都归零，才能腾出空间去接纳更多的新东西，如此才能使自己不断的超越自己。

并不是随着年纪的成长，每一个人都会变得更加成熟的，有的人就算是见得多，也不一定懂得多。凡事靠自己，也要相信自己。

人活着就是为了解决困难。这才是生命的意义，也是生命的内容。逃避不是办法，知难而上往往是解决问题的最好手段。

目录：导读

前言

一、Python编程入门到精通

二、接口自动化项目实战

三、Web自动化项目实战

四、App自动化项目实战

五、一线大厂简历

六、测试开发DevOps体系

七、常用自动化测试工具

八、JMeter性能测试

九、总结（尾部小惊喜）

相关文章：