接口测试是软件测试中的一项重要工作,它涉及到系统与系统之间的交互点。接口可以是外部接口,也可以是内部接口,包括上层服务与下层服务接口以及同级接口。在接口测试中,我们需要确保接口能够按照预期的方式进行通信和交互,并且能够正确处理输入和输出数据。
1. HTTPS 的工作原理
我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。
客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤:
客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
客户端的浏览器根据双方同意的安全等级建立会话密钥,然后利用网站的公钥将会话密钥加密并传送给网站。
Web服务器利用自己的私钥解密出会话密钥。
Web服务器利用会话密钥加密与客户端之间的通信。
2. HTTPS的优点
尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:
使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP协议安全,可防止数据在传输过程中被窃取、改变,确保数据的完整性。
HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。
3. HTTPS的缺点
虽然说HTTPS有很大的优势,但相对来说,它还是存在一些不足之处:
HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电。
HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响。
SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站一般不会用。
SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的是,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
4. HTTPS和HTTP的区别
HTTPS协议需要到CA申请证书,一般免费证书较少,因而需要一定费用。
HTTP是超文本传输协议,信息是明文传输;HTTPS则是具有安全性的SSL加密传输协议。
HTTP和HTTPS使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
HTTP的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。
HTTP的URL参数在浏览器历史记录中保留,而HTTPS的参数不会被保留。
HTTP的参数传递有长度限制,而HTTPS没有。
HTTP比HTTPS更不安全,因为参数直接暴露在URL上,所以不能用来传递敏感信息。
GET请求的参数通过URL传递,而POST请求的参数放在请求体中。
GET请求产生一个TCP数据包,而POST请求产生两个TCP数据包。
5. Session与Cookie的区别
Session和Cookie是Web开发中常用的状态管理机制,它们在保存用户信息和维持用户会话方面有所不同。
保存位置:Session数据保存在服务器端,而Cookie数据保存在客户端浏览器。
保存方式:Session默认被存在服务器的一个文件里,可以手动设置存储位置;Cookie默认保存在客户端内存中,如果设置了过期时间就保存在硬盘中。
依赖关系:Session依赖Cookie来识别sessionid,如果浏览器禁用了Cookie,Session也会失效,此时可以通过URL传递sessionid。
安全
性:因为Session数据保存在服务器端,所以Session的安全性比Cookie高。
尺寸大小:Session基本上没有大小限制,而Cookie保存的内容比较小,具体由浏览器决定。
服务器性能:Session对服务器的压力会更大一些,而Cookie放在客户端,所以对服务器基本没影响。
6. TCP和UDP的区别
TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)是互联网协议套件中的两个主要传输层协议,它们有以下区别:
TCP是面向连接的协议,而UDP是无连接的协议。TCP在通信之前需要建立连接,而UDP不需要。
TCP提供可靠的服务,确保数据传输的可靠性和顺序,而UDP不保证可靠性,尽最大努力交付数据。
TCP面向字节流,将数据看作连续的字节流,而UDP是面向报文的,将数据看作独立的报文。
TCP有拥塞控制机制,会根据网络情况调整发送数据的速率,而UDP没有拥塞控制,发送数据不受限制。
TCP是一对一的通信,即一个发送方和一个接收方进行通信,而UDP支持一对一、一对多、多对一和多对多的通信。
TCP的首部开销较大,占用20个字节,而UDP的首部开销较小,只有8个字节。
7. 什么是TCP/IP?
TCP/IP是互联网协议套件,也被称为互联网通信协议族,是构建和组织互联网的基础通信架构。
TCP/IP协议族下的两个核心协议是TCP(传输控制协议)和IP(网际协议)。它们是在网络通信协议分层结构中的关键协议,被称为TCP/IP协议栈。
TCP/IP协议提供了点对点的链接机制,定义了数据的封装、定址、传输、路由以及在目的地如何接收等标准化过程。
协议栈按照不同功能将协议分层,每个层次实现不同的通信协议。TCP/IP协议族的各种协议根据其功能不同被归类到四个层次结构中,通常被视为是简化的七层OSI模型。
8. 常见的接口类型及API文档模板
常见的接口类型包括:
HTTP接口:基于HTTP协议的接口,是应用最广泛的网络协议之一,大多数基于浏览器/服务器架构的软件系统使用HTTP接口。
Web Service接口:系统对外的接口,根据提供的方法引用提供的接口,从而获取数据。
RESTful接口:描述了一种架构式的网络系统,基于标准HTTP方法和URL进行通信,支持系统间资源的交互。
常见的API文档模板包括:
Swagger
FlatDoc
RestDoc
API Blueprint
Slate
Miredot
9. Cookie的作用及测试点
Cookie是一种用于在客户端存储数据的机制,它具有简便性、可扩展性和可用性,可用于解决HTTP协议无状态的问题。Cookie的作用主要包括:
会话管理:通过存储会话标识,实现用户状态的管理和跟踪。
用户个性化设置:记录用户的偏好和设置,提供个性化的用户体验。
购物车功能:在电商网站中存储用户选择的商品信息,方便用户进行购物。
记住登录状态:在用户登录后,存储登录凭证,使用户在一段时间内免登录访问。
在进行Cookie测试时,可以关注以下测试点:
禁止使用Cookie:测试在禁用Cookie的情况下系统是否能正常工作。
Cookie存储路径:检查Cookie存放路径是否与设置一致。
Cookie过期检查:验证存放的Cookie在过期后是否被自动删除。
检查浏览器中Cookie选项:测试不同浏览器的Cookie选项,验证是否可以正常接受和存储Cookie。
浏览器删除Cookie:通过浏览器的设置,测试是否能正确删除Cookie文件。
Cookie加密:验证在提交敏感信息时,数据是否能够正确加密。
Cookie保存信息:验证Cookie是否能正常保存和读取所需的信息。
篡改Cookie:测试修改Cookie内容后,系统是否能正确识别和处理。
Cookie的兼容性:在不同类型或不同版本的浏览器中,测试Cookie文件的兼容性。
刷新操作对Cookie的影响:测试刷新操作后是否重新生成或修改Cookie文件。
检查Cookie内容存储是否完整正确:对加密的Cookie内容进行解密,检查是否按设计要求存储了相关的所有信息。
检查Cookie的更新和添加:多次进行相同操作或设置,检查是否更新或添加了新的Cookie文件。
统计功能验证:如果使用Cookie来统计次数或记录状态,验证统计功能是否正常工作。
10. 在接口测试中,为什么需要对HTTPS的工作原理有所了解?HTTPS在接口测试中有哪些重要作用和优势?
数据安全性:HTTPS使用SSL/TLS协议对通信进行加密,确保数据在传输过程中不被第三方获取、篡改或窃听。它通过使用对称加密、非对称加密和数字证书等技术,提供了更高级别的数据保护,保证了敏感信息的机密性和完整性。
身份验证:HTTPS可以对服务器进行身份验证,确保与预期的服务器建立连接。在接口测试中,这意味着可以验证接口的终端点是否为预期的合法服务器,避免了中间人攻击和伪造服务器的风险。
防止数据篡改:HTTPS使用消息摘要算法(如SHA)和数字签名,可以确保数据在传输过程中不被篡改。接口测试中,这保证了请求和响应数据的完整性,确保数据的一致性和准确性。
合规性和安全标准:使用HTTPS协议符合许多行业和安全标准的要求,如PCI DSS(支付卡行业数据安全标准)。在接口测试中,如果涉及到处理敏感数据或符合特定标准的场景,使用HTTPS可以确保符合合规性要求,并提供额外的安全层级。
排名提升和用户信任:谷歌等搜索引擎更倾向于将使用HTTPS加密的网站排名较高,因为它们提供更安全的用户体验。在接口测试中,如果接口涉及到公共网站或需要提升用户信任的场景,使用HTTPS可以提升网站的搜索排名并增加用户的信任度。
抗攻击能力增强:相比HTTP协议,HTTPS大大增加了中间人攻击的成本。HTTPS提供了更强的防护能力,可以抵御黑客攻击、拒绝服务攻击和服务器劫持等威胁。在接口测试中,这意味着可以更好地保护接口免受安全漏洞和攻击的影响。
兼容性和标准化:HTTPS是广泛使用的标准协议,与各种系统和平台兼容性良好。在接口测试中,使用HTTPS可以确保接口与其他系统的兼容性,并保证与行业标准的一致性。
总结:
感谢每一个认真阅读我文章的人!!!
作为一位过来人也是希望大家少走一些弯路,如果你不想再体验一次学习时找不到资料,没人解答问题,坚持几天便放弃的感受的话,在这里我给大家分享一些自动化测试的学习资源,希望能给你前进的路上带来帮助。
软件测试面试文档
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
视频文档获取方式:
这份文档和视频资料,对于想从事【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!以上均可以分享,点下方小卡片即可自行领取。