性能测试处理动态令牌（Token）和会话（Session）是保证脚本能够真实模拟多用户并发操作的重要技术，主要通过在LoadRunner中实现关联（Correlation）来完成。关联是从服务器响应中捕获动态变化的值，作为变量供后续请求使用。

特征：

典型形式：JSESSIONID, PHPSESSID, session_id，csrf_token, access_token, viewstate，订单号、证实码、时间戳、流程实例ID

主要目的：在服务器端标识并跟踪一次用户会话状态。 防止重复提交或进行接口访问授权。标识唯一的业务实体或包含上下文信息。

变化规律：每次新登录或会话开始时，服务器都会生成一个新值。 一般随页面加载或表单请求生成，有一定有效期。根据业务规则（如递增、随机）生成。

存放位置：一般通过 Set-Cookie 在HTTP头部下发，或嵌入在响应体中。一般以隐藏字段（如<input type="hidden">）或JSON字段的形式出现在响应体中。一般出现在JSON响应、HTML正文或重定向URL中。

使用方式：后续请求自动通过Cookie携带，或需手动提取并放入请求头/体。必须手动提取，并在下一次表单提交或请求头（如Authorization: Bearer）中回传。需要在后续请求的特定参数中回传。

未处理的后果：所有虚拟用户（Vuser）都使用录制时固定的Session ID，导致请求被服务器识别为同一会话，可能触发登录失败或数据混乱。提交过期的或无效的令牌，服务器会返回“令牌无效”、“重复提交”等错误。 导致业务流程中断，如用已使用的订单号再次提交。

实现关联的步骤和函数

实现关联，是使用注册型关联函数（如 web_reg_save_param_ex），这类函数需要在触发服务器响应的请求（如 web_url）之前声明，工作原理是钩住接下来的响应，并根据设定的左右边界（LB/RB）提取文本保存为参数。

手动关联的流程如下：

录制并回放，确定问题：录制包含登录或获取Token的脚本，回放时如果失败，查看日志，如果发现服务器返回的动态值和录制时不同，即可确定。

定位并捕获动态值：

定位响应：在Tree View中，找到失败前一步的服务器响应（如登录请求）。

确定边界：在响应内容中找到动态值，分析其左侧（LB）和右侧（RB）唯一且固定不变的文本作为边界。

插入函数：在生成该响应的请求函数之前，插入关联函数，设置参数名和边界。

替换参数：将脚本中原先硬编码（Hard-Coded）的动态值替换成 {参数名}。

调试：重新回放脚本，启用扩展日志（Extended log）查看参数是不是被正确捕获和替换。

实战案例分析

下面通过两个典型情形演示怎样操作。

案例一：处理登录会话 (Session ID)

以经典的WebTours登录为例。登录前，服务器会在首页响应中分配一个动态的userSession值。

捕获：在访问首页的请求web_url("WebTours")前，插入关联函数。

替换：在后续登录请求web_submit_data("login.pl")中，将"Value=108993.054434994..."替换为"Value={UserSession}"。

代码示例：

c

// 1. 在请求前注册关联，捕获动态的userSession

web_reg_save_param_ex(

    "ParamName=UserSession",

    "LB=name=\"userSession\" value=\"", // 左边界

    "RB=\">",                           // 右边界

    "Search=Body",

    LAST);

// 2. 执行请求，响应中的userSession会被捕获到`UserSession`参数

web_url("WebTours",

        "URL=http://127.0.0.1:1080/WebTours/",

        ...);

// 3. 在后续的登录请求中，使用捕获到的参数

web_submit_data("login.pl",

    ITEMDATA,

    "Name=userSession", "Value={UserSession}", ENDITEM, // 动态值替换在此

    "Name=username", "Value=test", ENDITEM,

    "Name=password", "Value=1", ENDITEM,

    LAST);

案例二：处理防跨站请求伪造令牌 (CSRF Token)

在提交表单前，常需从页面获取一个CSRF令牌。

捕获：在加载表单页面的请求前，插入关联函数捕获csrf_token。

替换：在提交表单的请求中，将此令牌作为一项数据提交。

代码示例：

c

// 1. 在访问表单页面前注册关联，捕获CSRF令牌

web_reg_save_param_ex(

    "ParamName=CsrfToken",

    "LB=<input type=\"hidden\" name=\"csrf_token\" value=\"",

    "RB=\"",

    "Search=Body",

    LAST);

web_url("form_page.html", ...);

// 2. 在提交表单时使用捕获到的令牌

web_submit_data("submit_action.php",

    ITEMDATA,

    "Name=csrf_token", "Value={CsrfToken}", ENDITEM, // 动态令牌替换

    "Name=data", "Value=example", ENDITEM,

    LAST);

技巧调试

处理多个相同值：当响应中有多个结构相同的动态值（如商品列表ID）时，在关联函数中设置 "Ord=All"，捕获的所有值会存储为数组，可通过 {ParamName_1}、{ParamName_2} 等方式引用。

JSON响应处理：对于JSON格式的响应（如REST API返回的 access_token），使用 web_reg_save_param_json 函数配合JSON Path途径来提取更为准确和方便。

调试和排查：必须在 Runtime Settings -> Log 中启用 Extended log 并勾选 Parameter substitution。回放时通过查看日志，可以清晰看到参数是不是被正确捕获和替换，这是定位关联问题最直接的方法。

自动关联的辅助：LoadRunner提供扫描关联（Scan for Correlation）功能，可自动比对两次录制脚本的差别，提示可能的关联点。但不能完全依赖自动结果，需人工核对边界和必要，因为自动关联可能遗漏或误关联。