首先,什麼是接口呢?
接口一般來說有兩種,一種是程序內部的接口,一種是系統對外的接口。
系統對外的接口:比如你要從別的網站或服務器上獲取資源或信息,別人肯定不會把數據庫共享給你,他只能給你提供一個他們寫好的方法來獲取數據,你引用他提供的接口就能使用他寫好的方法,從而達到數據共享的目的,比如說咱們用的app、網址這些它在進行數據處理的時候都是通過接口來進行調用的。
程序內部的接口:方法與方法之間,模塊與模塊之間的交互,程序內部拋出的接口,比如bbs系統,有登錄模塊、發帖模塊等等,那你要發帖就必須先登錄,要發帖就得登錄,那麼這兩個模塊就得有交互,它就會拋出一個接口,供內部系統進行調用。
一、常見接口:
1、webService接口:是走soap協議通過http傳輸,請求報文和返回報文都是xml格式的,我們在測試的時候都用通過工具才能進行調用,測試。可以使用的工具有SoapUI、jmeter、loadrunner等;
2、http api接口:是走http協議,通過路徑來區分調用的方法,請求報文都是key-value形式的,返回報文一般都是json串,有get和post等方法,這也是最常用的兩種請求方式。可以使用的工具有postman、RESTClient、jmeter、loadrunner等;
二、前端和後端:
在說接口測試之前,我們先來搞清楚這兩個概念,前端和後端。
前端是什麼呢,對於web端來說,咱們使用的網頁,打開的網站,這都是前端,這些都是html、css寫的;對於app端來說呢,它就是咱們用的app,android或者object-C(開發ios上的app)開發的,它的作用就是顯示頁面,讓我們看到漂亮的頁面,以及做一些簡單的校驗,比如說非空校驗,咱們在頁面上操作的時候,這些業務邏輯、功能,比如說你購物,發微博這些功能是由後端來實現的,後端去控制你購物的時候扣你的餘額,發微博發到哪個賬號下面,那前端和後端是怎麼交互的呢,就是通過接口。
前面說的你可能不好理解,你只需記住:前端負責貌美如花,後端負責掙錢養家。
三、什麼是接口測試:
接口測試是測試系統組件間接口的一種測試。接口測試主要用於檢測外部系統與系統之間以及內部各個子系統之間的交互點。測試的重點是要檢查數據的交換,傳遞和控制管理過程,以及系統間的相互邏輯依賴關係等。
OK,上面是百度百科上說的,下面纔是我說的
其實我覺得接口測試很簡單,比一般的功能測試還簡單(這話我先這樣說,以後可能會刪O(∩_∩)O哈!),現在找工作好多公司都要求有接口測試經驗,也有好多人問我(也就兩三個人)什麼是接口測試,本着不懂也要裝懂的態度,我會說:所謂接口測試就是通過測試不同情況下的入參與之相應的出參信息來判斷接口是否符合或滿足相應的功能性、安全性要求。
我爲啥說接口測試比功能測試簡單呢,因爲功能測試是從頁面輸入值,然後通過點擊按鈕或鏈接等傳值給後端,而且功能測試還要測UI、前端交互等功能,但接口測試沒有頁面,它是通過接口規範文檔上的調用地址、請求參數,拼接報文,然後發送請求,檢查返回結果,所以它只需測入參和出參就行了,相對來說簡單了不少。
四、接口組成
接口都有那些部分組成呢?
首先,接口文檔應該包含以下內容:
1、接口說明
2、調用url
3、請求方法(get\post)
4、請求參數、參數類型、請求參數說明
5、返回參數說明
由接口文檔可知,接口至少應有請求地址、請求方法、請求參數(入參和出參)組成,部分接口有請求頭header。
標頭 (header):是服務器以HTTP協議傳HTML資料到瀏覽器前所送出的字串,在標頭與 HTML 文件之間尚需空一行分隔,一般存放cookie、token等信息
有同學問我header和入參有什麼關係?它們不都是發送到服務器的參數嗎?
OK,首先,它們確實都是發送到服務器裏的參數,但它們是有區別的,header裏存放的參數一般存放的是一些校驗信息,比如cookie,它是爲了校驗這個請求是否有權限請求服務器,如果有,它才能請求服務器,然後把請求地址連同入參一起發送到服務器,然後服務器會根據地址和入參來返回出參。也就是說,服務器是先接受header信息進行判斷該請求是否有權限請求,判斷有權限後,纔會接受請求地址和入參的。
五、爲什麼要做接口測試:
大家都知道,接口其實就是前端頁面或APP等調用與後端做交互用的,所以好多人都會問,我功能測試都測好了,爲什麼還要測接口呢?OK,在回答這個問題之前,先舉個栗子:
比如測試用戶註冊功能,規定用戶名爲6~18個字符,包含字母(區分大小寫)、數字、下劃線。首先功能測試時肯定會對用戶名規則進行測試時,比如輸入20個字符、輸入特殊字符等,但這些可能只是在前端做了校驗,後端可能沒做校驗,如果有人通過抓包繞過前端校驗直接發送到後端怎麼辦呢?試想一下,如果用戶名和密碼未在後端做校驗,而有人又繞過前端校驗的話,那用戶名和密碼不就可以隨便輸了嗎?如果是登錄可能會通過SQL注入等手段來隨意登錄,甚至可以獲取管理員權限,那這樣不是很恐怖?
所以,接口測試的必要性就體現出來了:
①、可以發現很多在頁面上操作發現不了的bug
②、檢查系統的異常處理能力
③、檢查系統的安全性、穩定性
④、前端隨便變,接口測好了,後端不用變
六、接口測試怎麼測:
在進行接口測試前,還需要了解:
1)、GET和POST請求:
如果是get請求的話,直接在瀏覽器裏輸入就行了,只要在瀏覽器裏面直接能請求到的,都是get請求,如果是post的請求的話,就不行了,就得藉助工具來發送。
GET請求和POST請求的區別:
1、GET使用URL或Cookie傳參。而POST將數據放在BODY中。
2、GET的URL會有長度上的限制,則POST的數據則可以非常大。
3、POST比GET安全,因爲數據在地址欄上不可見。
4、一般get請求用來獲取數據,post請求用來發送數據。
其實上面這幾點,只有最後一點說的是比較靠譜的,第一點post請求也可以把數據放到url裏面,get請求其實也沒長度限制,post請求看起來參數是隱式的,稍微安全那麼一些些,但是那只是對於小白用戶來說的,就算post請求,你通過抓包也是可以抓到參數的。所以上面這些面試的時候你說出來就行了。
2)、http狀態碼
每發出一個http請求之後,都會有一個響應,http本身會有一個狀態碼,來標示這個請求是否成功,常見的狀態碼有以下幾種:
1、200 2開頭的都表示這個請求發送成功,最常見的就是200,就代表這個請求是ok的,服務器也返回了。
2、300 3開頭的代表重定向,最常見的是302,把這個請求重定向到別的地方了,
3、400 400代表客戶端發送的請求有語法錯誤,401代表訪問的頁面沒有授權,403表示沒有權限訪問這個頁面,404代表沒有這個頁面
4、500 5開頭的代表服務器有異常,500代表服務器內部異常,504代表服務器端超時,沒返回結果
接下來再說接口測試怎麼測:
1)、通用接口用例設計
①、通過性驗證:首先肯定要保證這個接口功能是好使的,也就是正常的通過性測試,按照接口文檔上的參數,正常傳入,是否可以返回正確的結果。
②、參數組合:現在有一個操作商品的接口,有個字段type,傳1的時候代表修改商品,商品id、商品名稱、價格有一個是必傳的,type傳2的時候是刪除商品,商品id 是必傳的,這樣的,就要測參數組合了,type傳1的時候,只傳商品名稱能不能修改成功,id、名稱、價格都傳的時候能不能修改成功。
③、接口安全:
1、繞過驗證,比如說購買了一個商品,它的價格是300元,那我在提交訂單時候,我把這個商品的價格改成3元,後端有沒有做驗證,更狠點,我把錢改成-3,是不是我的餘額還要增加?
2、繞過身份授權,比如說修改商品信息接口,那必須得是賣家才能修改,那我傳一個普通用戶,能不能修改成功,我傳一個其他的賣家能不能修改成功
3、參數是否加密,比如說我登陸的接口,用戶名和密碼是不是加密,如果不加密的話,別人攔截到你的請求,就能獲取到你的信息了,加密規則是否容易破解。
4、密碼安全規則,密碼的複雜程度校驗
④、異常驗證:
所謂異常驗證,也就是我不按照你接口文檔上的要求輸入參數,來驗證接口對異常情況的校驗。比如說必填的參數不填,輸入整數類型的,傳入字符串類型,長度是10的,傳11,總之就是你說怎麼來,我就不怎麼來,其實也就這三種,必傳非必傳、參數類型、入參長度。
2)、根據業務邏輯來設計用例
根據業務邏輯來設計的話,就是根據自己系統的業務來設計用例,這個每個公司的業務不一樣,就得具體的看自己公司的業務了,其實這也和功能測試設計用例是一樣的。
舉個例子,拿bbs來說,bbs的需求是這樣的:
1、登錄失敗5次,就需要等待15分鐘之後再登錄
2、新註冊的用戶需要過了實習期才能發帖
3、刪除帖子扣除積分
4、......
像這樣的你就要把這些測試點列出來,然後再去造數據測試對應的測試點。