接口测试

1、什么是接口？

• l  接口：什么是接口呢？接口一般来说有两种，一种是程序内部的接口，一种是系统对外的接口。
• l  系统对外的接口：比如你要从别的网站或服务器上获取资源或信息，别人肯定不会把数据库共享给你，他只能给你提供一个他们写好的方法来获取数据，你引用他提供的接口就能使用他写好的方法，从而达到数据共享的目的，比如说咱们用的app、网址这些它在进行数据处理的时候都是通过接口来进行调用的。
• l  程序内部的接口：方法与方法之间，模块与模块之间的交互，程序内部抛出的接口，比如bbs系统，有登录模块、发帖模块等等，那你要发帖就必须先登录，要发帖就得登录，那么这两个模块就得有交互，它就会抛出一个接口，供内部系统进行调用。

2、接口的分类

　　现在我们最常用的两种接口就是webservice接口和http api接口，概念这里就不赘述了，知道有这两种接口和怎么测试就可以了。webService接口是走soap协议通过http传输，请求报文和返回报文都是xml格式的，我们在测试的时候都用通过工具才能进行调用，测试。http api接口是走http协议，通过路径来区分调用的方法，请求报文都是key-value形式的，返回报文一般都是json串，有get和post等方法，这也是最常用的两种请求方式。

3、接口测试

　　什么是接口测试呢？接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等。 --（百度百科）

      其实接口测试就和普通功能测试没什么区别，区别就是功能测试是在页面上点点点，在页面上输入值，提交数据看结果，而接口测试没有页面，通过接口规范文档上的调用地址、请求参数，拼接报文，然后发送请求，检查返回结果。

4、为什么要做接口测试？

　　为什么要做接口测试呢？我们知道，其实接口也是app端或者说是web前端进行调用的，那我们直接在app或者web端直接测试不就好了，反正它都是调用的接口，app和web端功能测试通过了，那接口不就是好使的嘛。

      真的是这样吗？说的好像很有道理，其实不然，要是真的是这样的话，那我还讲啥接口测试。思考一个问题，假如现在在京东app上买东西，支付订单，订单金额是500元，支付的话，那肯定要调用支付接口，你在页面上操作的话，订单金额是修改不了的，那如果你想测试一下服务端有没有校验订单的金额，我想把订单金额改成5元，那在页面上点是测试不了的，这个时候我们就可以直接用接口来调用，修改一下订单金额的值，然后再发请求就可以了。

    当然这只是我举个例子，接口测试当然不只是这一点原因，总的来说还是为了更好的提高我们产品的质量。

5、接口测试的必要性

• 可以发现很多在页面上操作发现不了的bug；
• 检查系统的异常处理能力；
• 检查系统的安全性、稳定性；
• 前端随便变，接口测好了，后端不用变。

6、接口测试流程

• 需求评审，熟悉业务和需求
• 开发提供接口文档
• 编写接口测试用例
• 用例评审
• 提测后开始测试
• 提交测试报告

7、接口规范文档

　　既然我们要测试接口，那我们根据什么来测试呢？那就是接口规范文档，也是我们测试最重要的一个依据接口文档是干嘛的呢，接口文档说简单点，就是这个接口的使用文档。

接口文档至少包括：

• 接口说明
• 调用url
• 请求方法（get\post）
• 请求参数、参数类型、请求参数说明
• 返回参数说明

　　　　注意：get和post请求的区别：

　　　　　　1.get请求：

　　　　　　　　　　get请求是从服务获取数据的，传输数据的时候参数放在URL里面，get请求的时候直接使用浏览器里测试就可以；

　　　　　　2.post请求：

　　　　　　　　　　post请求是向服务器发送数据的，post请求传输数据的时候参数是放在body里面的，有请求体；

　　　　　　当然，还有一些区别，比方说长度不一样，其实也没有太大的区别；

8、 怎么来测接口-http接口

8.1、测试工具有：

　　一般常用的接口测试工具有soapUI、postman、jmeter等，当然还有很多没有提到的工具，还有一些公司都是使用自己写的接口测试工具，可以进行线上监控，还可以实现接口自动化；

• 　　soapUI一般用来进行webservice接口测试（一般国企单位使用webservice接口）；
•        postman一般用来进行api接口测试；
•        jmeter会用来进行接口的功能，还可以用来进行接口性能测试。

　　前面我们已经有了接口文档，那么我们就要根据接口文档来拼接参数调用接口，那么怎么调用呢？

　　接口请求报文拼接：

　　1、url?param=value&param2=value，这种是最简单的一种，问号前面是请求url，后面是请求的参数名和参数值，多个参数用&来连接： https://api.douban.com/v2/book/search?q=邹伟伟。

　　2、还有一种就是入参是json串的，那就不能拼接参数了，需要借助工具来完成比如postman

　　【实例】

　　==1、简单的get请求：

　　==2、简单的post请求方式：

　　==3、入参是json类型的post请求：

 　　==4、需要添加cookie信息的post请求：

　　==5、需要添加添加head信息的get请求：

 

　　==6、上传文件的接口post请求：

8.2 Httph状态码

　　每发出一个http请求之后，都会有一个响应，http本身会有一个状态码，来标示这个请求是否成功，常见的状态码有以下几种：

　　　　1、200 2开头的都表示这个请求发送成功，最常见的就是200，就代表这个请求是ok的，服务器也返回了。

　　　　2、300 3开头的代表重定向，最常见的是302，把这个请求重定向到别的地方了，

　　　　3、400 400代表客户端发送的请求有语法错误，401代表访问的页面没有授权，403表示没有权限访问这个页面，404代表没有这个页面

　　　　4、500 5开头的代表服务器有异常，500代表服务器内部异常，504代表服务器端超时，没返回结果 

8.3 怎么来测接口-webservice接口

　　webservice接口怎么测试呢，他不需要你在拼报文了，会给一个webservice的地址，或者wsdl文件，直接在soapui导入，就可以看到这个webservice里面的所有接口，也有报文，直接填入参数调用，看返回结果就可以了。

天气预报wsdl地址：http://www.webservicex.net/globalweather.asmx?wsdl

7.4 通用的接口用例设计

接口安全：

      1、绕过验证，比如说购买了一个商品，它的价格是300元，那我在提交订单时候，我把这个商品的价格改成3元，后端有没有做验证，更狠点，我把钱改成-3，是不是我的余额还要增加？

      2、绕过身份授权，比如说修改商品信息接口，那必须得是卖家才能修改，那我传一个普通用户，能不能修改成功，我传一个其他的卖家能不能修改成功；

      3、参数是否加密，比如说我登陆的接口，用户名和密码是不是加密，如果不加密的话，别人拦截到你的请求，就能获取到你的信息了，加密规则是否容易破解。

      4、密码安全规则，密码的复杂程度校验。