接口测试理论

引言

“接口测试”一个让人觉得非常高端的名词，特别是对于刚入门的测试同学而言。随着测试技术不断的深化，“接口测试”出现在我们视野中的频次越来越高。那么接口测试到底是如何做的？接口测试的优势又体现在哪些方面？

　　什么是接口

引用百度百科的一句话——接口：外部系统与系统之间以及内部各个子系统之间的交互点

接口一般分为两种：程序内部接口、系统对外接口。
1. 系统对外接口：例如最常见的系统对外接口—支付宝支付接口，很多app的支付功能都是调用支付宝的支付接口来进行支付，而该接口是支付宝系统提供给外部系统进行调用的
2. 程序内部接口：模块与模块之间的交互，比如淘宝商城要购买商品，下订单前必须要先登录，那么下订单与登录之间就是一个交互，这个交互就是一个接口，让程序内部的其他模块进行调用的。另外程序内部方法直接的接口调用。比如电商平台的前台和后台之间接口调用，前台开发人员用HTML或CSS或JS等技术，后台开发人员用JAVA,PYTHON等语言，若用户从前台输入数据，怎样将数据传到后台呢？主要是通过http协议的get或post请求来实现前后端的数据传递，这些都是接口测试的一部分。

　　常见类型

1.webService接口：走soap协议通过http传输，请求报文和返回报文都是xml格式的。测试时需要通过工具才能进行调用、测试。少数公司还在使用这种接口，如医院等行业。

2.http api接口：走http协议，通过路径来区分调用的方法，请求和报文都是key-value形式的，返回报文一般都是json串，有get和post等方法。目前来讲，是最常用的。如RESTful基于http协议的接口。

3.dubbo接口: 走rpc协议，使用rpc协议进行远程调用，直接使用socket通信。传输效率高，并且可以统计出系统之间的调用关系、调用次数。使用Java语言开发，只能用于Java语言开发的项目间的通信，不具备跨语言，跨平台的特点！

4.硬件接口：USB 、充电接口（此处不做讨论）

　　前后端区别

做接口测试前，需要对两个概念有所了解，前端和后端
1. 前端：通常为Web前端和app前端，前端的作用是为了展示数据内容，做简单的数据校验，比如我们看到的淘宝商城，那些商品信息，图片展示等等。
2. 后端：进行复杂计算的业务逻辑，功能实现，例如我们购买商品后的价格计算，优惠活动的使用，最终的支付，都是通过后端实现的，而前后端就是通过接口来进行交互的。

　　接口调用示意图

说明：输入条件也就是入参报文，经过接口程序处理之后，得到结果输出，也就是出参报文。

　　什么是接口测试

还是引用百度百科的一句话：系统组件间接口测试。主要是检测外部系统与系统之间，以及内部各个子系统之间的交互点，检查数据的交换，传递，和控制管理过程，以及系统间的相互逻辑依赖关系，适用于为其他系统提供服务的底层框架系统和中心服务系统，主要测试这些系统对外部系统提供的接口，验证其正确性与稳定性。

关于接口测试的说法：

1.接口测试即功能测试，是通过测试不同输入条件下，接口返回的结果是否与预期结果一致。

2.接口是用来连接客户端和服务端的，一般接口返回的数据都是json格式。

3.接口测试实质是数据测试，对数据库的各种操作(增，删，改，查)。

4.接口测试其实是一个非常简单的过程，将接口的业务逻辑处理看成黑盒测试中的黑盒子，我们只需要考虑各种输入条件下，会产生相应的什么结果。

　　接口测试即黑盒测试

接口测试是黑盒测试，但黑盒测试不一定只是接口测试。

而我们知道黑盒测试又称功能测试，那么接口测试与功能测试是不是一回事呢？答案是否定的，为什么呢？功能测试还包含了程序的UI层，包含了按钮，UI交互等功能，而接口测试是没有页面操作的，只能通过调用接口来进行测试，只需要给接口传递相应的输入条件，再检查接口输出的结果是否符合预期即可。某种程度讲，接口测试比功能测试还要更简单一些。

　　接口的组成

　　1.接口说明文档；

　　2.接口url；

　　3.请求方法：post或get

　　4.请求参数、参数类型、请求参数说明；

　　5.返回参数说明；

由接口文档可知，接口至少应有请求地址、请求方法、请求参数（入参和出参）组成，部分接口有请求头header，cookie。

标头 (header)：是服务器以HTTP协议传HTML资料到浏览器前所送出的字串，在标头与 HTML 文件之间尚需空一行分隔，一般存放cookie、token等信息

那么，header和入参有什么关系？它们不都是发送到服务器的参数吗？

首先，它们确实都是发送到服务器里的参数，但它们是有区别的，header里存放的参数一般存放的是一些校验信息，比如cookie，它是为了校验这个请求是否有权限请求服务器，如果有，它才能请求服务器，然后把请求地址连同入参一起发送到服务器，然后服务器会根据地址和入参来返回出参。也就是说，服务器是先接受header信息进行判断该请求是否有权限请求，判断有权限后，才会接受请求地址和入参的。

　　为什么要做接口测试

通过图我们知道，程序的前端(UI层)是用来展示数据以及简单的数据检验的，而真正的业务逻辑核心是后端。

在传统的功能测试中，如果前端工程师还没有将前端工作做完，我们测试是无法展开测试工作的，另一方面，既然前端有校验功能，那后端就有可能会遗漏该功能的数据校验，如果用户通过抓包绕过前端，直接进行后端操作，我们的程序就可能出现重大问题。

所以进行接口测试主要是因为：

1. 尽早的测试介入，越早介入测试，发现的问题解决起来的成本是最低的。很多时候开发没有将完整产品提交给测试时，测试时无法工作的，就会有大部分时间处于等待状态，而接口测试可以在没有前端界面下进行测试
2. 后端的功能校验在前端很难进行测试，因为前端已经有初步校验控制，所以接口测试可以发现很多在前端无法发现的问题
3. 提升测试效率，降低人工回归测试的人力成本与时间成本，缩短测试周期

　　接口测试与UI测试优劣对比

• 接口测试的介入时间更早，越早介入价值越高。
• 接口测试的稳定性更高，变动少。接口测试通过，前端即时出现问题，解决起来也会非常快
• 接口测试发现缺陷后，解决的成本更低。越底层的缺陷，影响的面就越广，一个底层缺陷可能引起N个表面的缺陷，那时候解决起来就会非常麻烦，而且还不一定能找到源头缺陷
• 定位问题更加准确和快速。当我们接口测试通过后，在功能测试中出现问题，我们就可以更快速和准确的定位问题，因为已经排除掉接口层的干扰了。

　　接口测试流程

接口测试的原理跟功能测试是一样的，那么它的流程跟功能测试流程其实也是基本一致的。

接口测试 不等于 接口测试工具使用

很多人认为会使用接口测试工具就是会接口测试。其实接口测试远远不止是工具的使用，SoapUI也好，Jmeter也好，这些工具都是我们在进行接口测试过程中能够更方便的进行测试，而工具仅仅是工具，真正核心部分还是接口测试用例设计以及测试思维。那么当我们做接口测试时，到底需要做哪些方面的工作呢？

接口测试流程：

1. 获取需求文档和接口文档
2. 通过对需求文档分析出接口的业务逻辑要求以及业务边界
3. 通过对接口文档分析出接口的技术指标（接口地址、请求方式、入参、出参）
4. 接口测试用例设计（着重于接口测试数据准备）
5. 使用接口测试工具进行接口测试
6. 接口缺陷管理与跟踪
7. 接口自动化持续集成

　　接口测试常用工具

　　接口测试的工具很多，比如 postman、jmeter、loadrunner、SoapUI等，比较常见的是postman和jmeter。简介下postman和jmeter。

　　1.Postman是谷歌的一款接口测试插件，它使用简单，支持用例管理，支持get/post、文件上传、响应验证、变量管理、环境参数管理等功能，可以批量运行，并支持用例导出、导入。

　　2.jmeter是一款100%纯Java编写的免费开源的工具，它主要用来做性能测试，相比loadrunner来说，它内存占用小，免费开源，轻巧方便、无需安装，越来越被大众所喜爱。

　　接口测试怎么做

1）、通用接口用例设计

①、通过性验证：首先肯定要保证这个接口功能是好使的，也就是正常的通过性测试，按照接口文档上的参数，正常传入，是否可以返回正确的结果。
②、参数组合：现在有一个操作商品的接口，有个字段type，传1的时候代表修改商品，商品id、商品名称、价格有一个是必传的，type传2的时候是删除商品，商品id　　是必传的，这样的，就要测参数组合了，type传1的时候，只传商品名称能不能修改成功，id、名称、价格都传的时候能不能修改成功。

③、接口安全：
     1、绕过验证，比如说购买了一个商品，它的价格是300元，那我在提交订单时候，我把这个商品的价格改成3元，后端有没有做验证，更狠点，我把钱改成-3，是不是我的余额还要增加？
     2、绕过身份授权，比如说修改商品信息接口，那必须得是卖家才能修改，那我传一个普通用户，能不能修改成功，我传一个其他的卖家能不能修改成功
     3、参数是否加密，比如说我登陆的接口，用户名和密码是不是加密，如果不加密的话，别人拦截到你的请求，就能获取到你的信息了，加密规则是否容易破解。
     4、密码安全规则，密码的复杂程度校验

④、异常验证：
　　所谓异常验证，也就是我不按照你接口文档上的要求输入参数，来验证接口对异常情况的校验。比如说必填的参数不填，输入整数类型的，传入字符串类型，长度是10的，传11，总之就是你说怎么来，我就不怎么来，其实也就这三种，必传非必传、参数类型、入参长度。

2）、根据业务逻辑来设计用例
　　根据业务逻辑来设计的话，就是根据自己系统的业务来设计用例，这个每个公司的业务不一样，就得具体的看自己公司的业务了，其实这也和功能测试设计用例是一样的。
    　　举个例子，拿bbs来说，bbs的需求是这样的：
  　　  1、登录失败5次，就需要等待15分钟之后再登录
  　　  2、新注册的用户需要过了实习期才能发帖
   　　 3、删除帖子扣除积分
   　　 4、......
   　　像这样的你就要把这些测试点列出来，然后再去造数据测试对应的测试点。

　　请求状态码说明

　　1、200 2开头的都表示这个请求发送成功，最常见的就是200，就代表这个请求是ok的，服务器也返回了。
　　2、300 3开头的代表重定向，最常见的是302，把这个请求重定向到别的地方了，
　　3、400 400代表客户端发送的请求有语法错误，401代表访问的页面没有授权，403表示没有权限访问这个页面，404代表没有这个页面
　　4、500 5开头的代表服务器有异常，500代表服务器内部异常，504代表服务器端超时，没返回结果