|
首先�����,什么是接口呢�����?
接口一般來說有兩種�,一種是程序內(nèi)部的接口,一種是系統(tǒng)對外的接口��。
系統(tǒng)對外的接口:比如你要從別的網(wǎng)站或服務器上獲取資源或信息���,別人肯定不會把數(shù)據(jù)庫共享給你�����,他只能給你提供一個他們寫好的方法來獲取數(shù)據(jù)��,你引用他提供的接口就能使用他寫好的方法��,從而達到數(shù)據(jù)共享的目的���,比如說咱們用的app、網(wǎng)址這些它在進行數(shù)據(jù)處理的時候都是通過接口來進行調(diào)用的��。
程序內(nèi)部的接口:方法與方法之間�,模塊與模塊之間的交互,程序內(nèi)部拋出的接口�,比如bbs系統(tǒng),有登錄模塊�、發(fā)帖模塊等等,那你要發(fā)帖就必須先登錄���,要發(fā)帖就得登錄�����,那么這兩個模塊就得有交互�����,它就會拋出一個接口���,供內(nèi)部系統(tǒng)進行調(diào)用��。
一�、常見接口:
1��、webService接口:是走soap協(xié)議通過http傳輸���,請求報文和返回報文都是xml格式的,我們在測試的時候都用通過工具才能進行調(diào)用�,測試?����?梢允褂玫墓ぞ哂蠸oapUI、jmeter��、loadrunner等�;
2、http api接口:是走http協(xié)議��,通過路徑來區(qū)分調(diào)用的方法��,請求報文都是key-value形式的���,返回報文一般都是json串���,有get和post等方法,這也是最常用的兩種請求方式��??梢允褂玫墓ぞ哂衟ostman、RESTClient����、jmeter、loadrunner等��;
二��、前端和后端:
在說接口測試之前,我們先來搞清楚這兩個概念��,前端和后端����。
前端是什么呢,對于web端來說�,咱們使用的網(wǎng)頁,打開的網(wǎng)站���,這都是前端��,這些都是html���、css寫的;對于app端來說呢�����,它就是咱們用的app����,android或者object-C(開發(fā)ios上的app)開發(fā)的�����,它的作用就是顯示頁面,讓我們看到漂亮的頁面�����,以及做一些簡單的校驗����,比如說非空校驗,咱們在頁面上操作的時候�,這些業(yè)務邏輯、功能��,比如說你購物���,發(fā)微博這些功能是由后端來實現(xiàn)的��,后端去控制你購物的時候扣你的余額��,發(fā)微博發(fā)到哪個賬號下面�����,那前端和后端是怎么交互的呢��,就是通過接口�����。
前面說的你可能不好理解���,你只需記?����。呵岸素撠熋裁廊缁?��,后端負責掙錢養(yǎng)家。
三�、什么是接口測試:
接口測試是測試系統(tǒng)組件間接口的一種測試。接口測試主要用于檢測外部系統(tǒng)與系統(tǒng)之間以及內(nèi)部各個子系統(tǒng)之間的交互點���。測試的重點是要檢查數(shù)據(jù)的交換���,傳遞和控制管理過程,以及系統(tǒng)間的相互邏輯依賴關系等�。
OK����,上面是百度百科上說的���,下面才是我說的
其實我覺得接口測試很簡單,比一般的功能測試還簡單(這話我先這樣說�����,以后可能會刪O(∩_∩)O哈?���。F(xiàn)在找工作好多公司都要求有接口測試經(jīng)驗��,也有好多人問我(也就兩三個人)什么是接口測試�,本著不懂也要裝懂的態(tài)度,我會說:所謂接口測試就是通過測試不同情況下的入?yún)⑴c之相應的出參信息來判斷接口是否符合或滿足相應的功能性����、安全性要求。
我為啥說接口測試比功能測試簡單呢�����,因為功能測試是從頁面輸入值��,然后通過點擊按鈕或鏈接等傳值給后端,而且功能測試還要測UI��、前端交互等功能��,但接口測試沒有頁面�����,它是通過接口規(guī)范文檔上的調(diào)用地址�、請求參數(shù),拼接報文�����,然后發(fā)送請求�����,檢查返回結果�,所以它只需測入?yún)⒑统鰠⒕托辛耍鄬碚f簡單了不少�。
四、接口組成
接口都有那些部分組成呢�����?
首先,接口文檔應該包含以下內(nèi)容:
1���、接口說明
2、調(diào)用url
3�、請求方法(get\post)
4、請求參數(shù)�、參數(shù)類型、請求參數(shù)說明
5��、返回參數(shù)說明
由接口文檔可知�,接口至少應有請求地址、請求方法�、請求參數(shù)(入?yún)⒑统鰠ⅲ┙M成,部分接口有請求頭header����。
標頭 (header):是服務器以HTTP協(xié)議傳HTML資料到瀏覽器前所送出的字串,在標頭與 HTML 文件之間尚需空一行分隔�,一般存放cookie、token等信息
有同學問我header和入?yún)⒂惺裁搓P系��?它們不都是發(fā)送到服務器的參數(shù)嗎���?
OK�,首先,它們確實都是發(fā)送到服務器里的參數(shù)�,但它們是有區(qū)別的,header里存放的參數(shù)一般存放的是一些校驗信息���,比如cookie���,它是為了校驗這個請求是否有權限請求服務器,如果有���,它才能請求服務器�����,然后把請求地址連同入?yún)⒁黄鸢l(fā)送到服務器�����,然后服務器會根據(jù)地址和入?yún)矸祷爻鰠?���。也就是說�����,服務器是先接受header信息進行判斷該請求是否有權限請求,判斷有權限后����,才會接受請求地址和入?yún)⒌摹?/span>
五、為什么要做接口測試:
大家都知道�,接口其實就是前端頁面或APP等調(diào)用與后端做交互用的���,所以好多人都會問�����,我功能測試都測好了����,為什么還要測接口呢�����?OK���,在回答這個問題之前���,先舉個栗子:
比如測試用戶注冊功能�,規(guī)定用戶名為6~18個字符�,包含字母(區(qū)分大小寫)、數(shù)字�����、下劃線���。首先功能測試時肯定會對用戶名規(guī)則進行測試時���,比如輸入20個字符、輸入特殊字符等�,但這些可能只是在前端做了校驗,后端可能沒做校驗���,如果有人通過抓包繞過前端校驗直接發(fā)送到后端怎么辦呢���?試想一下,如果用戶名和密碼未在后端做校驗����,而有人又繞過前端校驗的話����,那用戶名和密碼不就可以隨便輸了嗎���?如果是登錄可能會通過SQL注入等手段來隨意登錄�����,甚至可以獲取管理員權限�����,那這樣不是很恐怖?
所以�����,接口測試的必要性就體現(xiàn)出來了:
①�、可以發(fā)現(xiàn)很多在頁面上操作發(fā)現(xiàn)不了的bug
②、檢查系統(tǒng)的異常處理能力
③�����、檢查系統(tǒng)的安全性���、穩(wěn)定性
④��、前端隨便變���,接口測好了���,后端不用變
六、接口測試怎么測:
在進行接口測試前�,還需要了解:
1)、GET和POST請求:
如果是get請求的話����,直接在瀏覽器里輸入就行了,只要在瀏覽器里面直接能請求到的�,都是get請求,如果是post的請求的話�����,就不行了�����,就得借助工具來發(fā)送�。
GET請求和POST請求的區(qū)別:
1�、GET使用URL或Cookie傳參�����。而POST將數(shù)據(jù)放在BODY中��。
2��、GET的URL會有長度上的限制�,則POST的數(shù)據(jù)則可以非常大。
3�、POST比GET安全,因為數(shù)據(jù)在地址欄上不可見��。
4��、一般get請求用來獲取數(shù)據(jù)��,post請求用來發(fā)送數(shù)據(jù)�。
其實上面這幾點�,只有最后一點說的是比較靠譜的,第一點post請求也可以把數(shù)據(jù)放到url里面�����,get請求其實也沒長度限制,post請求看起來參數(shù)是隱式的���,稍微安全那么一些些���,但是那只是對于小白用戶來說的,就算post請求�,你通過抓包也是可以抓到參數(shù)的。所以上面這些面試的時候你說出來就行了�。
2)、http狀態(tài)碼
每發(fā)出一個http請求之后����,都會有一個響應,http本身會有一個狀態(tài)碼��,來標示這個請求是否成功��,常見的狀態(tài)碼有以下幾種:
1���、200 2開頭的都表示這個請求發(fā)送成功��,最常見的就是200�����,就代表這個請求是ok的���,服務器也返回了�。
2���、300 3開頭的代表重定向�,最常見的是302�,把這個請求重定向到別的地方了,
3���、400 400代表客戶端發(fā)送的請求有語法錯誤�����,401代表訪問的頁面沒有授權���,403表示沒有權限訪問這個頁面����,404代表沒有這個頁面
4、500 5開頭的代表服務器有異常��,500代表服務器內(nèi)部異常,504代表服務器端超時�����,沒返回結果
接下來再說接口測試怎么測:
1)��、通用接口用例設計
①���、通過性驗證:首先肯定要保證這個接口功能是好使的�����,也就是正常的通過性測試�,按照接口文檔上的參數(shù)���,正常傳入�����,是否可以返回正確的結果����。
②、參數(shù)組合:現(xiàn)在有一個操作商品的接口��,有個字段type����,傳1的時候代表修改商品,商品id���、商品名稱�����、價格有一個是必傳的���,type傳2的時候是刪除商品,商品id 是必傳的�����,這樣的��,就要測參數(shù)組合了�����,type傳1的時候����,只傳商品名稱能不能修改成功,id���、名稱�、價格都傳的時候能不能修改成功���。
③���、接口安全:
1、繞過驗證�,比如說購買了一個商品,它的價格是300元�����,那我在提交訂單時候�,我把這個商品的價格改成3元,后端有沒有做驗證���,更狠點��,我把錢改成-3����,是不是我的余額還要增加?
2�����、繞過身份授權��,比如說修改商品信息接口����,那必須得是賣家才能修改,那我傳一個普通用戶�,能不能修改成功,我傳一個其他的賣家能不能修改成功
3���、參數(shù)是否加密���,比如說我登陸的接口,用戶名和密碼是不是加密����,如果不加密的話��,別人攔截到你的請求�����,就能獲取到你的信息了,加密規(guī)則是否容易破解��。
4��、密碼安全規(guī)則�,密碼的復雜程度校驗
④、異常驗證:
所謂異常驗證�,也就是我不按照你接口文檔上的要求輸入?yún)?shù),來驗證接口對異常情況的校驗��。比如說必填的參數(shù)不填�,輸入整數(shù)類型的,傳入字符串類型�����,長度是10的��,傳11����,總之就是你說怎么來�,我就不怎么來�����,其實也就這三種��,必傳非必傳�����、參數(shù)類型�、入?yún)㈤L度。
2)����、根據(jù)業(yè)務邏輯來設計用例
根據(jù)業(yè)務邏輯來設計的話,就是根據(jù)自己系統(tǒng)的業(yè)務來設計用例���,這個每個公司的業(yè)務不一樣��,就得具體的看自己公司的業(yè)務了�����,其實這也和功能測試設計用例是一樣的�����。
舉個例子�,拿bbs來說,bbs的需求是這樣的:
1����、登錄失敗5次���,就需要等待15分鐘之后再登錄
2��、新注冊的用戶需要過了實習期才能發(fā)帖
3����、刪除帖子扣除積分
4�����、......
像這樣的你就要把這些測試點列出來�����,然后再去造數(shù)據(jù)測試對應的測試點。
七�、用什么工具測
接口測試的工具很多,比如 postman���、RESTClient����、jmeter�����、loadrunner�����、SoapUI等����,本人首推的測試工具是postman和jmeter,接下來就簡單介紹下如何使用這兩款工具進行接口測試��,其他工具本次暫不介紹�。
1)、Postman是谷歌的一款接口測試插件,它使用簡單�,支持用例管理,支持get����、post、文件上傳����、響應驗證、變量管理��、環(huán)境參數(shù)管理等功能�����,可以批量運行���,并支持用例導出、導入�����。
jmeter是一款100%純Java編寫的免費開源的工具����,它主要用來做性能測試�����,相比loadrunner來說����,它內(nèi)存占用小��,免費開源�,輕巧方便、無需安裝���,越來越被大眾所喜愛���。
注:以下用例中所用地址皆為本人在本地所搭的環(huán)境,外網(wǎng)無法訪問�,見諒。
①����、獲取用戶信息:該接口用于通過userid獲取用戶信息
請求地址:http://192.168.1.102:8081/getuser
請求方式:POST/GET
入?yún)ⅲ?/span>
|
參數(shù)
|
數(shù)據(jù)類型(長度)
|
是否必傳
|
備注
|
|
userid
|
String
|
Y
|
用戶id
|
出參:
|
參數(shù)
|
數(shù)據(jù)類型(長度)
|
備注
|
|
code
|
int
|
狀態(tài)碼200為成功,500為異常
|
|
age
|
int
|
年齡
|
|
id
|
string
|
用戶id
|
|
name
|
String
|
用戶姓名
|
postman中請求如下
jmeter中請求如下:
②����、獲取用戶信息:需要添加header�����,Content-Type application/json
1.1 請求地址
http://192.168.1.102:8081/getuser2
1.2 請求方式
get/post
1.3 入?yún)?/span>
|
參數(shù)
|
數(shù)據(jù)類型(長度)
|
是否必傳
|
備注
|
|
userid
|
String
|
Y
|
用戶id
|
1.4 出參
|
參數(shù)
|
數(shù)據(jù)類型(長度)
|
備注
|
|
code
|
int
|
狀態(tài)碼200為成功����,500為異常
|
|
userid
|
int
|
用戶id
|
|
name
|
string
|
用戶名稱
|
|
age
|
int
|
用戶年齡
|
postman測試如下��,本次入?yún)閖son類型,當然文檔中沒說非要用json����,用其他方式也是可以的
jmeter測試如下
③、修改用戶余額2
1.1 功能描述
功能描述:需要添加cookie���,token token是寫死的token12345
1.2 請求地址
http://192.168.1.102:8081/setmoney2
1.3 請求方式
Post
1.4 入?yún)?/span>
|
參數(shù)
|
數(shù)據(jù)類型(長度)
|
是否必傳
|
備注
|
|
userid
|
String
|
Y
|
用戶id
|
|
money
|
String
|
Y
|
修改的余額數(shù)值
|
1.5 出參
|
參數(shù)
|
數(shù)據(jù)類型(長度)
|
備注
|
|
code
|
int
|
狀態(tài)碼200為成功�����,500為異常
|
|
success
|
String
|
狀態(tài)
|
postman測試如下:
jmeter測試如下:
④文件上傳
postman:
jmeter:
⑤、請求webService接口
請求webService接口需要用到的工具是SoapUI��,如下圖
在jmeter里請求如下:
|
