标签: authentication integration-testing
我目前正在构建一个服务,其中的身份验证通过会话令牌进行管理。用户输入他们的电子邮件地址,如果他们的电子邮件地址有效,他们会通过电子邮件发送一个令牌被验证并通过电子邮件发送给他们。然后,他们可以通过该电子邮件点击“登录”链接。
我遇到的问题是 e2e 测试,我可以测试“登录”功能没有问题,但所有其他 API 端点都需要使用会话令牌。我获得会话令牌的唯一方法是通过电子邮件,这似乎不太实用。
我唯一的想法是使用某种永不过期的主令牌,但从安全角度来看,这感觉是错误的。
有什么想法吗?