调试身份认证这事,谁试过谁知道疼。一个页面跑下来,得把“新访客、回头客、管理员、会话过期、已登出”五种角色轮着测一遍。最省事的办法?不停地注册新号,或者把Cookie全扬了从头再来。

其实有一手更快的。下面这五种操作,直接动Cookie就能模拟出任意登录态,数据库不用碰,假账号也不用捏。

我平时操作用的是CookieJar——一个免费的Chrome扩展,原生跑在MV3上,给Cookie编辑配了个像样的图形界面。不过每招我都会把Chrome开发者工具的原生步骤也标出来,搞清楚底层在发生什么,比光点按钮强。

第一招,模拟登出状态,但别什么都删。莽夫做法是清空全部Cookie再刷新,后果很惨:开发环境的session token没了,本地存储里精心配好的开关扬了,连Stripe的测试模式标识都跟着陪葬。精准做法是只干掉那个存会话身份的Cookie。多数会话Cookie的命名无非是session、sid、auth_token、_session_id或近似的变体。在开发者工具里走“应用→Cookie→你的域名→找到会话Cookie→右键删除”,或者在CookieJar里搜一下“session”,点对应那条右侧的垃圾桶图标就行。开发环境纹丝不动,用户状态已经干净地回到登出。

第二招,一组账号搞定“回头客”和“新用户”两条路径。会话Cookie告诉服务器你已经验明正身,但不少应用还会下另一组Cookie来标记用户看过新手引导没有、完成过初始设置没有,或者以前来没来过。你去找名字像onboarding_complete、setup_done、first_visit这样的Cookie,或者自己应用代码里自定义的那些标记。要测新用户体验,先把当前Cookie导出来——CookieJar里走“导出→JSON格式”,开发者工具直接复制也行——然后精准删掉那条新手引导或首次访问的标记Cookie,刷新页面,新用户路径就出来了。测完再把导出的Cookie重新导回去,状态立刻复原。对于那种“这人做完过某一步吗”的分支型渐进展示界面,这一手尤其好用。

第三招,靠Cookie快照在角色之间瞬间切换。你应用要是接了基于角色的访问控制,那日常验证的清单绝对是:管理员得看到管理后台、普通用户只能看到普通面板、游客则落到正确的落地页。建三个号反复登进登出纯属浪费时间。更好的办法是做快照,一次性配置好就行——用管理员身份登录,CookieJar导出,存成admin-session.json;换成普通用户登录,导出,存成user-session.json;再登出或者清掉认证Cookie,导出,存成guest-session.json。往后切角色不超过30秒:在CookieJar里导入对应的快照文件,刷新页面,你就变成那个角色了。这招之所以跑得通,是因为服务器只认手里攥着这个会话令牌的是谁。你不是在绕过认证,只是在玩身份切换的快捷方式。

第四招,定位并操控时效异常的“过期Session”。不少应用会用expires或max-age把会话Cookie设成短期有效,时间一到自动失效。调试时想快速看到过期后页面长什么样,直接找到那条会话Cookie,把expires值往前提半天,或者把max-age改成1秒,刷新页面,会话立刻过期。开发者工具里这两项可以直接双击修改,CookieJar里也提供日期选择器和秒数输入框。

第五招,直接写入未来时间戳,跳过等时。有些流程里会下“下次再看”或“24小时内不再提示”这类带时间窗口的Cookie。为了测它,你可以先记下当前时间戳,然后手动把Cookie值改成未来某个时间点,刷新页面再看那块区域,该不出现的东西应该就不出现了。开发者工具里直接改value字段,CookieJar里在编辑面板敲数字就行。