6.接口测试原理,方法
1.什么是接口
业内常说的接口一般指两种:
API:应用程序编程接口,程序间的接口
GUI:图形用户界面,人与程序的接口
软件接口测试中的接口特指API接口
接口测试又称API测试
接口实例:系统与系统间的接口调用,作用:实现了两个或多个独立系统或模块间的通信和数据交换能力。
2.常见的Web接口类型:
REST接口——通过HTTP的get和post方式得到数据,返回报文json格式
SOAP接口——通过soap协议得到数据,相比Httpservice能处理更加复杂的数据类型,请求报文和返回报文xml格式
Http接口的组成
eg:http://127.0.0.1:80/user.php?act=register
请求协议:http://
IP:127.0.0.1
端口号:80
接口地址:user.php
接口参数:act
参数值:register
SOAP接口
SOAP实际上就是HTTP+XML
无论哪种语言开发的平台,只要是网页开发都可以通过http协议来进行通信,并且返回的数据想要通用的话,可以使用XML格式来编写
面试题:什么是RESTful?
RESTful是REST的全程。
提供了一组客户端和服务器交互的规则。
当用“GET”方式时,只用来获取数据,成功了返回http状态码200。
当用“POST”方式时,只用来创建数据,成功了返回http状态码201
当用“PUT”方式时,只用来修改更新数据,成功了返回http状态码203
当用“DELETE”方式时,只用来删除数据,成功了返回http状态码204
ps:GET(SELECT):从服务器取出资源(一项或多项)。
POST(CREATE):在服务器新建一个资源。
PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)。
PATCH(UPDATE):在服务器更新资源(客户端提供改变的属性)。
DELETE(DELETE):从服务器删除资源。
3.为什么要做接口测试?
尽早进行系统集成测试,暴露BUG
解决系统测试复杂度
屏蔽UI层的不稳定性
检查系统安全性,稳定性
接口经过测试稳定了,前端页面随便改,减少BUG的产生
4.接口测试的原理
原理:模拟客户端向服务器发送请求报文,服务器接受请求报文后对相应的报文做处理并向客户端返回应答,客户端再接受应答的一个过程。
接口测试是黑盒测试。作为黑盒测试,基本的测试思路是通过输入和输出判断被测系统或者对象的逻辑。
5.接口测试关注点
关注在系统架构的业务逻辑层,不注重UI操作或者用户感观
检查数据的交换,传递和控制管理过程
注重系统间的相互逻辑关系调用
6.接口测试的范围
按测试类型分:功能、性能、安全性
按数据的输入输出分:
1、进入系统的接口(调用外部系统的参数为本系统使用)
2、数据流出系统接口(验证系统处理后的数据是否正常)
7.接口测试和UI测试的异同点
UI的操作实际上就是用另一种方式调用接口,那么接口有多少种参数组合就要求UI用例要构造多少种操作进行调用
UI操作所需要的数据可以用接口来生成
接口测试可以保证数据和逻辑的准确性,UI测试需要考虑交互和界面展示的逻辑正确性
UI测试需要重视接口调用不成功或者接口异常情况下UI的呈现方式和用户体验
UI中可能会有一些状态的缓存信息(这样就不需要每次频繁调用接口去获取了),比如鉴权信息等,需要重点关注这些缓存的更新策略
8.接口测试的三种形式
手动测试:辅助工具、Fiddler、Postman、HttpWath
自动化测试:自己开发的工具、SoapUI、RobotFramework
性能测试:自己开发的工具、Jmeter、LoadRunner
9.如何开展接口测试
找开发或者开发主管索要接口说明文档(API文档)(作用:是开发测试脚本的依据)–
熟悉业务–设计测试用例–准备测试数据–根据接口说明文档开发接口测试脚本–执行脚本–调入数据–
提交BUG–写报告
API文档
在项目中,一份完整的接口文档应该包含以下的内容:
接口说明
请求方式(get\post)
请求地址
请求参数、参数类型、请求参数说明
返回参数说明
返回示例
10.接口测试要点
接口可用性
接口可用性主要测试接口是否可用、接口是否存在、接口的协议类型,测试案例中应包括:
〖R1〗 依据接口文档中给定的接口地址和协议方法能够访问到该接口。
〖R2〗 使用错误的协议方法无法按照接口地址进行访问。
〖R3〗 使用正确的协议方法无法按照错误的接口地址进行访问。
输入输出参数个数及命名
输入输出参数个数及命名主要测试接口包含的输入输出参数的个数以及各个参数的命名是否正确,测试案例中应包括:
〖R1〗 依据接口文档检查输入参数的个数以及命名是否和文档一致。
〖R2〗 依据接口文档检查输出参数的个数以及命名是否和文档一致(注意检查输出的正常参数和异常参数)。
〖R3〗 输入错误的参数名,接口会报错,并有错误信息返回。
输入参数的必输项
输入参数的必输项主要测试接口对输入参数的可选与必输的要求,测试案例中应包括:
〖R1〗 按照接口文档对所有必输的输入项依次不输入,检查接口是否给予报错信息返回。
〖R2〗 按照接口文档对所有选输的输入项依次检查是否可以不输入参数接口也有正确数据返回,无报错信息。
输入参数的合法性
输入参数的合法性的合法性主要对参数的录入规范要求进行检查,测试案例中应包括:
〖R1〗 依据接口文档,有明确的要求的(如:只能由数字组成、在以下几个可选值中选择、只能由字母组成、长度最多为多少、格式为时间格式)输入参数,检查是否符合这些要求。
〖R2〗 依据接口文档,没有明确要求的输入参数,依次测试长度超长、含有特殊字符、全角半角等情况。检查接口是否报错,给予错误返回信息。
输出参数内容的正确性
输出参数内容的正确性主要对输出参数的内容是否和后台真实数据一致进行检查,测试案例中应包括:
〖R1〗 考虑多种输入参数的组合情况,依次测试在这些组合情况下接口返回的数据的各字段内容是否正确,要具体检查每个字段的内容。一般通过与后台数据库数据比较来进行检查。
〖R2〗 考虑多种输入参数的组合情况,依次测试在这些组合情况下接口返回的数据中涉及输入参数的项,是否和最初输入的值一致。
接口实现功能验证
接口实现功能验证主要对接口操作的具体功能是否正常运转进行检查,测试案例中应包括:
〖R1〗 输入正确的参数,检查接口对应的要实现的后台功能是否正确运转。例如:对一个启动接口发送启动的命令,接口对应的后台系统能够正确启动并返回正确的参数。
〖R2〗 输入错误的参数,检查接口对应的要实现的后台功能是否没有运转。测试用例中应包括:
考虑多种输入参数的组合情况,依次测试在这些组合情况下接口返回的数据的各字段内容是否正确,要具体检查每个字段的内容。一般通过与后台数据库数据比较来进行检查。
考虑多种输入参数的组合情况,依次测试在这些组合情况下接口返回的数据中涉及输入参数的项,是否和最初输入的值一致。
接口文档规范性
接口文档规范性主要对开发提供的接口文档是否规范准确进行检查,测试案例中应包括:
〖R1〗 接口文档中对于输入输出参数都有准确的命名,不存在模糊的情况。
〖R2〗 接口文档对于每一个参数都有明确的类型说明,是否可选还是必输,是否有默认值。
〖R3〗 接口文档对于每一个输入参数都要明确好基本的录入条件,比如长度最长多少、只能为数字还是字母、不能含有特殊字符等。
〖R4〗 针对一个接口如果有多种类型的输出参数组合且参数的命名或个数有不同,这种情况,要在接口文档中罗列清晰,并明确指出出现这种类型的输出参数的条件。
接口传递参数的加密显示
防止SQL注入攻击
——SQL注入的原理
定义:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力。
用于没有对用户的输入数据进行必要的合法性判断,导致了攻击者可用提交一段数据库查询代码,根据程序返回的结果,获得一些他想要得到的数据。
举例:
在用户名输入框中输入:’or 1=1 #,密码随便输入,这时候的合成后的SQL查询语句为:
select * from users where username = ‘’ or 1=1 #’ and password = md5(’’)
等价于:select * from users where username = ‘’ or 1=1
11.接口测试用例怎么写
三个步骤:
初始化测试数据
调用接口,传入输入数据
对输出断言
12.接口测试的本质
接口测试是通过工具或代码模拟http请求的发送与接收,看客户端与服务端之间的数据交换,一般用于检测外部系统与系统之间的连通性,或者内部各个子系统之间的交互点。
13.主流的接口测试工具
postman
jmeter
也可以通过python来测试。
14.接口测试常见问题
-
传参不当,导致出错或 crash
-
数据传入和返回不一致
-
对象权限未校验,存在敏感信息
-
存在无意义的重复调用
15.衡量接口质量的纬度
一般是如下几点:
-
业务规则覆盖是否完整
-
接口覆盖是否达到要求
-
参数验证是否达到要求
-
接口异常场景覆盖是否完整
-
性能指标是否满足要求
-
安全指标是否满足要求
16.接口测试的内容
一般会从功能、异常、性能、安全几个纬度测试接口:
功能测试:
主要有两方面,一方面看接口及出入参与接口文档的一致性,另一方面看输入和输出的准确性。
除了看输入输出准确性外,为什么要看与接口文档的一致性?这个很好理解,因为接口文档是前后端开发联调的标准。
输入(入参)的测试:必传和非必传、参数长度、数值类型、特殊字符&%@#等、字符串类型、数组、正常和异常、有、无和为空,以及参数组合。
输出(返回)的测试:主要看正常返回的响应内容,和异常返回的响应码和提示语。
异常测试:
主要考虑重复提交、并发、环境异常、分布式测试、大数据量的表现。
重复提交:多次重复提交,连续重复提交,特别是涉及到支付、交易金额相关
并发:两个以上用户操作同一场景,争夺资源、死锁等情况
事务测试:多个连续步骤才能完成的业务流程
大数据量测试:数据量较大时,能否处理正确和效率是否受影响
性能测试:
主要看响应时间、吞吐量、并发数、服务器资源使用率、cpu、内存、io、network
安全测试:
主要考虑接口的加密处理、前后端数据传输、日志信息、防刷机制。
异常返回的响应码和提示语。
异常测试:
主要考虑重复提交、并发、环境异常、分布式测试、大数据量的表现。
重复提交:多次重复提交,连续重复提交,特别是涉及到支付、交易金额相关
并发:两个以上用户操作同一场景,争夺资源、死锁等情况
事务测试:多个连续步骤才能完成的业务流程
大数据量测试:数据量较大时,能否处理正确和效率是否受影响
性能测试:
主要看响应时间、吞吐量、并发数、服务器资源使用率、cpu、内存、io、network
安全测试:
主要考虑接口的加密处理、前后端数据传输、日志信息、防刷机制。