最近在准备面试,所以整理一哈接口测试一些通用的checklist
2:接口测试:基本功能
(1)接口协议(基于HTTP、HTTPS、Dubbo实现?)
(2)接口调用方式 (post、get?)
(3)数据的交换
- 接口参数:请求方传递的数据
- 接口相应:被请求方返回的数据
(4)接口文档说明:白名单,灰度等
(5)接口规范
(6)接口通用的checklist:
- 考虑: 安全、性能、功能、兼容性、异常
- 测试接口必须涵盖:功能、冲突测试(多线程并发)、对外部系统影响、兼容、第三方依赖、系统结构、监控
测试分类 | 测试模块 | 测试子模块 | 特殊测试点 |
功能
|
接口参数校验
|
确定接口参数与文档描述的一致性 | 参数个数与接口定义文档描述的一致性 |
参数名称与接口定义文档定义的一致性 | |||
参数值类型的一致性 | |||
接口参数的非法性验证
| 保持其他参数合法,令校验参数的值为null | ||
保持其他参数合法,令校验参数的值空 | |||
保持其他参数合法,令校验参数的值为要求取值范围之外的值 | |||
保持其他参数合法,令校验参数的值为错误的格式 | |||
保持其他参数合法,不传要校验的参数。 | |||
接口参数的合法性验证 | 根据接口逻辑传入正确参数组合的参数合法值,验证接口返回结果 | ||
接口响应结果验证
|
确定接口响应字段与文档的一致性
| 接口响应字段名称与接口定义文档描述的一致性 | |
接口响应结果的结构与接口定义文档描述的一致性(父子节点关系等) | |||
接口响应字段对应的值的数据类型与接口定义文档描述的一致性 | |||
接口响应字段对应的值的格式是否与接口定义文档描述一致(如日期,json表达的某个特定含义的规则等) | |||
接口响应字段无对应值时返回的默认值 | |||
参数错误等情况,接口响应的errcode及errmsg等是否与接口定义文档描述一致性 | |||
功能逻辑验证 | 接口响应结果逻辑验证 | 根据传入的参数不同,返回的结果是否符合接口的功能逻辑的验证。(例如:传入的参数是酒店1,接口不能返回酒店2的数据) | |
冲突测试(如多线程并发) |
| 并发请求接口 | 并发请求不能互相影响 |
对外部系统影响 |
| 接口性能测试 接口访问白名单设定 | 接口响应的数据量,是否需要进行接口限速及数据量控制 |
兼容 | 发布后是否兼容线上 |
|
|
第三方依赖 |
| 接口逻辑依赖于第三方 | 第三方系统挂了或者不能正常提供服务,我们的接口要保持正常提供服务不能异常 |
系统结构 |
|
|
|
监控
|
| 接口异常监控 |
|
接口响应超时监控 |
| ||
接口每秒调用次数监控 |
|
3:接口测试:业务功能
- 根据需求、设计,按照接口对应服务达到的业务功能做测试
4:接口测试:安全
(1)权限:
- 水平越界(a具有了同等级用户b的权限)
- 垂直越界(a同学只有查看的权限,却能编辑)
(2)sql注入:
【实例】:
- 查询账号对应的电话号码接口
- 接口有参数user,如果有sql注入风险,令user=a or 1=1 则可能通过接口获取到所有用户的电话号码:
- select phone from user where user=a or 1=1;
(3)敏感信息泄露:手机号、银行卡
5:接口测试:手段
(1)Postman方式(缺点:case不能保留)
(1)http接口功能测试可用工具
- Poster \ Postman:分别是firefox \ chrome的http接口请求工具
- Fiddler,charles:http抓包工具
- 自动化:接口自动化框架,基于Junit(推荐:告别手动测试接口,case文档化,一键回归)
(2)Dubbo接口测试方法
- Dubbo命令行:telnet或nc登录
- tc平台调试
- Dubbo接口调试:3. dev以及beta测试dubbo接口
- 将dubbo接口封装jsp进行测试
- 单元测试
- 自动化
(3)接口性能测试工具
- Jmeter:能够对HTTP和FTP服务器进行压力和性能测试, 也可以对任何数据库进行同样的测试(通过JDBC)
- Loadrunner:LoadRunner是一种预测系统行为和性能的工业标准级负载测试工具。通过以模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题
- LoadRunner 能够对整个企业架构进行测试。
性能测试关注点:
- QPS(TPS):每秒钟request/事务 数量
- 并发数: 系统同时处理的request/事务数
- 响应时间: 一般取平均响应时间
- 吞吐率:单位时间内从服务器返回的字节数
- 成功率:接口输出断言成功的比例
- 资源利用率:CPU使用率、内存使用率、网络宽带、磁盘I/O等
总结如下,从安全,性能,功能,兼容性,异常几个方面来考虑
1.业务功能测试:正常场景,异常场景
2.业务分析测试:业务规则边界分析,输入输出参数边界分析(对输入输出参数边界值做以下整理)
接口的响应:响应的状态码,描述;返回内容的检查;对数据库数据的检查
参数的组合测试
异常情况测试:1.重复提交 2.并发测试3.事务测试4.分布式测试.5.环境异常6.大数据测试 :同时处理大批量数据的测试,db数量很大时,测试db操作
性能测试:响应时间,并发数,吞吐量,服务端资源使用率如cpu,内存,io,network
安全测试:敏感信息是否加密(前后端数据传输是否加密,日志信息是否加密),sql注入