Я ищу механизм для динамической подачи заголовков аутентификации во время моего тестирования API с использованием docker: owasp / zap2docker-weekly.
то есть.,
- Войдите в приложение как пользователь на
/login Конечная точка REST дает
мне токен аутентификации - jwttoken
- У меня есть конечная точка REST, скажем
/sessions, на которой мне интересно выполнить сканирование безопасности, для которого требуется jwttoken в качестве заголовка для
аутентификации
Процесс, за которым я следовал:
Я вытягиваю изображение докера и кормлю чванство с конечной точкой /session, используя docker run -v /Users/abc/Downloads/:/zap/wrk/:rw -t owasp/zap2docker-weekly zap-api-scan.py -t swagger.json -f openapi -r zap.html.
Я ищу простой / опрятный способ создания jwttoken (см. Пункт 1 выше) и передачи его команде запуска docker с использованием опции замены, доступной в этом блоге: https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html