什么是接口测试
接口测试又称 API 测试 Application Programming Interface
接口测试是测试系统组件间接口的一种测试。重点关注数据传递。
接口测试一般会用于多系统间交互开发,或者拥有多个子系统的应用系统开发的测试。
为什么要做接口测试
很多系统关联都是基于接口实现,接口测试可以将复杂的系统关联进行简化。
接口的功能比较单一,能够比较好的进行测试覆盖,也相实现对容易自动化持续集成。
接口相对于界面功能,会更底层一些,测试覆盖会更容器。
软件开发生命周期
- 接口测试在单元测试之后,UI测试之前。
- 接口测试可以获得较高的投资回报。
Web Service
Web Service 是一种跨编程语言和跨操作系统平台的远程调用技术。
最主要的两种实现方式: SOAP & REST
Web 2.0 时代,REST 方法被广泛普及。
SOAP & REST
SOAP
交换数据的一种协议规范,是一种轻量级、简单的、基于XML的协议。
REST
一种软件架构风格,可以降低开发的复杂性,提高系统的可伸缩性。
区别
- 安全性: SOAP 好于 REST
- 效率和易用性: REST 更胜一筹
- 成熟度: 总的来说 SOAP 在成熟度上优于 REST
REST 和 RESTFUL
区别
- RESTful 是 REST 的形容词形式
- RESTful API 指的是 REST 风格的接口
一般来说 REST 等于 RESTful,区别一个是名词,一个是形容词。
REST API
REST 最早是由 Roy Fielding 博士发表的论文中提到的。
定义: 简单来说 REST 是一种系统架构设计风格(而非标准),一种分布式系统的应用层解决方案。
目的: Client 和 Server 端进一步解耦。
应用: 最为经典的是 github API
核心思想: 资源。
REST 支持的方法(CRUD)
| Verd | 描述 |
|---|---|
| HEAD(select) | 只获取某个资源的头部信息 |
| GET(select) | 获取资源 |
| POST(create) | 创建资源 |
| PATCH(update) | 更新资源的部分属性(很少用,一般用POST代替) |
| PUT(update) | 更新资源,客户端需要提供新建资源的所有属性 |
| DELETE(delete) | 删除资源 |
幂等性(Idempotent): 是一个数学上的概念,在这里表示一次和多次请求引起的边界效果应该是一致的。 Post 是不幂等方法。
安全性: GET、HEAD 和 OPTIOND 均被认为是安全的r方法,因为它们旨在实现对数据的获取,并不具有“边界效应(Side Effect)
REST API 设计规范
-
协议: 使用 HTTPs 协议,确保交互数据的传输安全。
-
域名: 应该尽量将 API 部署在专用域名之下。
(例:https://api.example.com) -
版本控制; 将版本号放在 URL 或者 Header 中
-
路径:只能包含动词,不能包含名词
-
过滤信息:
- ?limit=10:指定返回记录的数量
- ?offset=10:指定返回记录的开始位置。
- ?page=2&per_page=100:指定第几页,以及每页的记录数。
- ?sortby=name&order=asc:指定返回结果按照哪个属性排序,以及排序顺序。
- ?animal_type_id=1:指定筛选条件
参数的设计允许存在冗余,即允许API路径和URL参数偶尔有重复。比如,GET /zoo/ID/animals 与 GET /animals?zoo_id=ID 的含义是相同的。
-
验证(Authentication): 确定用户是其申明的身份,比如提供账号和密码。
-
授权(Authorization): 保证用户有对请求资源特定的权限。比如用户的私人信息只能自己访问,其他人无法看到;有些特殊的操作只能管理员来操作,其他用户有只读权限等。
常见的 HTTP status code 状态码:
- 200 OK - [GET]:服务器成功返回用户请求的数据,该操作是幂等的(Idempotent)。
- 201 CREATED - [POST/PUT/PATCH]:用户新建或修改数据成功。
- 202 Accepted - [*]:表示一个请求已经进入后台排队(异步任务)
- 301 资源的 URL 被更新
- 204 NO CONTENT - [DELETE]:用户删除数据成功。
- 400 INVALID REQUEST - [POST/PUT/PATCH]:用户发出的请求有错误,服务器没有进行新建或修改数据的操作,该操作是幂等的。
- 401 Unauthorized - [*]:表示用户没有权限(令牌、用户名、密码错误)。
- 403 Forbidden - [*] 表示用户得到授权(与401错误相对),但是访问是被禁止的。
- 404 NOT FOUND - [*]:用户发出的请求针对的是不存在的记录,服务器没有进行操作,该操作是幂等的。
- 406 Not Acceptable - [GET]:用户请求的格式不可得(比如用户请求JSON格式,但是只有XML格式)。
- 410 Gone -[GET]:用户请求的资源被永久删除,且不会再得到的。
- 422 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时,发生一个验证错误。
- 500 INTERNAL SERVER ERROR - [*]:服务器发生错误,用户将无法判断发出的请求是否成功。
状态码的完全列表参见这里。
错误处理
如果状态码是4xx,就应该向用户返回出错信息。一般来说,返回的信息中将error作为键名,出错信息作为键值即可。
{
error: "Invalid API key"
}
返回结果
- GET /collection:返回资源对象的列表(数组)
- GET /collection/resource:返回单个资源对象
- POST /collection:返回新生成的资源对象
- PUT /collection/resource:返回完整的资源对象
- PATCH /collection/resource:返回完整的资源对象
- DELETE /collection/resource:返回一个空文档
接口测试
手动测试
测试方法:
- 借助工具完成
- 拼接参数执行请求
自动化测试
测试方法:
- 编写自动化脚本实现
- 可以加入回归测试并持续集成
测试工具
- Postman
- JMeter
- RestClient
功能测试
测试范围:
- 业务流程
- 边界值,特殊符号
- 参数类型,必选项,可选项等
性能测试
测试覆盖:
- 并发数
- 吞吐量、tps
安全性测试
测试覆盖
- 敏感数据加密
- 恶意攻击
测试步骤
- 了解接口格式
- 编写测试用例
- 测试用例评审
- 开始测试
- 完成测试报告