Authentifizierung
Viele Webanwendungen erfordern einen Login, bevor geschützte Bereiche getestet werden können. Die Swarm-QA-Authentifizierung ermöglicht automatisches Einloggen vor jedem Scan-Lauf.
Konzept
Swarm QA führt vor dem eigentlichen Scan einen Login-Schritt aus. Der Agent navigiert zur Login-Seite, füllt die Credentials ein und wartet auf die erfolgreiche Anmeldung. Anschließend werden die Session-Cookies für alle Agenten übernommen.
Login-URL → Credentials eingeben → Session-Cookie → Scan startenKonfiguration
Die Authentifizierung wird pro Projekt konfiguriert unter Einstellungen → Swarm QA → Authentifizierung:
| Feld | Beschreibung | Beispiel |
|---|---|---|
| Login-URL | Adresse der Login-Seite | https://app.example.com/login |
| Benutzername-Selektor | CSS-Selektor für das Benutzername-Feld | #username oder [name="email"] |
| Passwort-Selektor | CSS-Selektor für das Passwort-Feld | #password |
| Submit-Selektor | CSS-Selektor für den Login-Button | button[type="submit"] |
| Benutzername | Login-Benutzername | testuser@example.com |
| Passwort | Login-Passwort | Wird verschlüsselt gespeichert |
Sicherheit
Verwenden Sie ausschließlich Testaccounts mit eingeschränkten Rechten. Speichern Sie niemals Produktions-Credentials in der Scan-Konfiguration.
Erfolgsvalidierung
Nach dem Login prüft xyva.ai, ob die Anmeldung erfolgreich war:
- URL-Prüfung — Weiterleitung zur erwarteten Seite nach dem Login
- Element-Prüfung — ein definiertes Element ist nach dem Login sichtbar (z. B. ein Logout-Button)
- Cookie-Prüfung — ein Session-Cookie wurde gesetzt
Mehrere Projekte
Jedes Projekt in xyva.ai kann eigene Authentifizierungsdaten haben. Beim Wechsel zwischen Projekten werden automatisch die passenden Credentials verwendet.
Tipp
Testen Sie die Authentifizierung zuerst mit einem Quick Smoke auf eine geschützte Seite. So stellen Sie sicher, dass der Login funktioniert, bevor Sie einen Deep Audit starten.
Sonderfälle
Zwei-Faktor-Authentifizierung (2FA)
2FA wird aktuell nicht automatisch unterstützt. Deaktivieren Sie 2FA für den Testaccount oder verwenden Sie eine Testumgebung ohne 2FA.
SSO / OAuth
Für Single-Sign-On-Szenarien muss die Login-URL direkt zum Identity-Provider zeigen. Komplexe SSO-Flows mit mehreren Redirects werden möglicherweise nicht vollständig unterstützt.
Cookie-basierte Authentifizierung
Alternativ können Sie ein gültiges Session-Cookie manuell hinterlegen, statt den Login-Flow zu durchlaufen.