接口测试-2019

转载：https://www.cnblogs.com/zhang-blue6128/p/9498900.html

前端和后端

前端：app，网页统称前端（展示-负责貌美如花）

后端: 后台提供数据，校验，下订单等等处理（负责挣钱养家）

 

接口测试概念

接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等(通俗来说就是，检查业务逻辑是否满足业务需求，校验字段是否正常你实际结果是否满足预期)

http api接口是走http协议，通过路径来区分调用的方法，请求报文都是key-value形式的，返回报文一般都是json串，有get和post等方法，这也是最常用的两种请求方式。 

json是一种通用的数据类型，所有的语言都认识它。（json的本质是字符串，他与其他语言无关，只是可以经过稍稍加工可以转换成其他语言的数据类型，比如可以转换成Python中的字典，key-value的形式，可以转换成JavaScript中的原生对象，可以转换成java中的类对象等。）

接口测试流程

需求讨论，需求评审，场景设计，编写用列，准备数据，执行测试

接口的组成:

a、接口说明

b、调用url

c、请求方法（get\post）

d、请求参数、参数类型、请求参数说明

e、返回参数说明

接口测试目标

1.可能发现客户端没有发现的bug(那么也叫隐藏bug)

2.及早爆出风险（保证质量正常上线）

3.接口稳定了，前端随便改

4.最重要检查系统安全性，稳定性

 

如何测试

 

 1.无非就两种get/post工具postman/httprequest等

 2.

 http

状态吗你至少了解

例如:200(成功)/300(重定向别的地方)/304(服务端资源无变化，可使用缓存资源)/400(请求语法错误)/401 未认证/403 服务端禁止访问该资源/404 服务端未找到该资源/500(服务器异常)

 

　　1、200 2开头的都表示这个请求发送成功，最常见的就是200，就代表这个请求是ok的，服务器也返回了。 

　　2、300 3开头的代表重定向，最常见的是302，把这个请求重定向到别的地方了。 

 

　　3、400 400代表客户端发送的请求有语法错误，401代表访问的页面没有授权，403表示没有权限访问这个页面，404代表没有这个页面。 

　　4、500 5开头的代表服务器有异常，500代表服务器内部异常，504代表服务器端超时，没返回结果。 

 3 通过工具模拟客户端向服务端发送请求并接受服务器返回的数据来对接口的功能，逻辑业务，异常，安全进行测试

功能测试：测试这个接口的功能是否实现，并且测试这个接口是否按照接口文档来进行开发的（比如说接口文档规定了一些关键字，而开大的时候把关键字改成了其他的关键字，因为在整个项目周期，并不只有一个开发而是有多个，所以可能因为在开发过程中因为关键字不一样导致某些开发的功能异常，还有自动化脚本也会发生异常）

逻辑业务，主要指的是一些逻辑业务依赖关系（比如支付宝提交订单的时候要保证你是在登录的情况下，如果你没有登录而提交成功了，这就是异常，可以修改请求的cookie来测试）

异常测试：参数异常：关键字参数（应用其他的关键字替换进行测试）、参数为空、参数多少（通过添加参数增添个数），参数错误。数据异常：关键字数据（填入的数据用其他的数据语言的数据替用）、数据长度、数据为空、数据错误。

接口文档

接口文档八要素： 

　　封面：封面最好是本公司规定的封面，有logo，内容标题，版本号，公司名称，文档产生日期； 

　　修订历史：表格形式较好些，包括：版本、修订说明、修订日期、修订人、审核时间审核人等； 

　　接口信息：接口调用方式，常用的GET/POST方式，接口地址； 

　　功能描述：简洁清晰的描述接口功能，比如：接口获取的信息不包括哪些； 

　　接口参数说明：每个参数都要和实际中调用的一样，包括大小写；参数的含义言简意赅的说明，格式，是string 还是int 还是long等格式； 

　　 说明部分，说明参数值是需要哪里提供，并详细说明参数怎么生成的，例如时间戳，是哪个时间段的，参数是否必填，一些参数是必须要有的，有些是可选参数等； 

　　返回值说明： 

　　①最好有一个模板返回值，并说明每个返回参数的意义； 

　　②提供一个真实的调用接口，真实的返回值； 

　　调用限制，安全方面： 

　　加密方式，或者自己公司一个特殊的加密过程，只要双方采用一致的加密算法就可以调用接口，保证了接口调用的安全性，比如常见的md5； 

　　文档维护：文档在维护的时候，如有修改一定要写上修改日期，修改人，对大的修改要有版本号变更； 

用例设计

 

A. 用例设计(根据业务逻辑来设计用例，登录5次,需要2分钟后再登录 删除关注的车，列表少一条数据)

B. 参数组合（传入不同值）

C. 接口安全(绕过验证/绕过身份验证/参数是否加密等)

D. 异常验证（输入异常参数边界值）

接口测试用例模板
1、项目 是哪个项目的
2、模块 这个接口是属于哪个功能模块的
3、用例id
4、接口名称 
5、用例标题 用例是干嘛的
6、请求方式 GET/POST
7、请求url url地址
8、请求参数
9、前置条件 有依赖的时候，比如说要测登录失败3次的
10、结果验证 预期结果
11、请求报文 
12、返回报文 
13、测试结果 通过/失败
14、测试人员

接口测试需要掌握的知识

①了解系统及内部各个组件之间的业务逻辑交互； 

②了解接口的I/O（input/output：输入输出）； 

③了解协议的基本内容，包括：通信原理、三次握手、常用的协议类型、报文构成、数据传输方式、常见的状态码、URL构成等； 

④常用的接口测试工具，比如：jmeter、loadrunner、postman、soapUI等； 

⑤数据库基础操作命令（检查数据入库、提取测试数据等）； 

⑥常见的字符类型，比如：char、varchar、text、int、float、datatime、string等；　 

 

如何学这些技能 

①系统间业务交互逻辑：通过需求文档、流程图、思维导图、沟通等很多渠道和方式； 

②协议：推荐《图解http》这本书，内容生动，相对算是入门级的书籍，其他的还有《图解tcp、IP》等； 

③接口测试工具：百度这些工具，然后你会发现，好多的教学博客、相关问题解决方案、以及一些基于工具的书籍，当然，选择合适的书很重要； 

④数据库操作命令：学习网站（W3C、菜鸟教程）、教学博客，以及一些数据库相关书籍，入门级推荐：《mysql必知必会》、《oracle PL/SQL必知必会》等 

⑤字符类型：内事不决问百度，外事不决问Google

 

测试标准

a) 业务功能覆盖是否完整

b) 业务规则覆盖是否完整

c) 参数验证是否达到要求（边界、业务规则）

d) 接口异常场景覆盖是否完整

e) 接口覆盖率是否达到要求

f)  代码覆盖率是否达到要求

g) 性能指标是否满足要求

h) 安全指标是否满足要求

接口测试经常遇到的bug和问题：

（1）传入参数处理不当，导致程序crash； 

（2）类型溢出，导致数据读出和写入不一致；

（3）因对象权限未进行校验，可以访问其他用户敏感信息；

（4）状态处理不当，导致逻辑出现错乱；

（5）逻辑校验不完善，可利用漏洞获取非正当利益等。

 

测试的几个方面：

接口返回

数据格式是否与预期一致。

接口数据处理的正确性

数据库插入、修改、删除是否成功。

容错处理

参数传值错误时，接口是否能给出相应的返回。

参数边界值处理

如传递的参数足够大或为负数时，接口是否可以正常处理。

安全

如对外暴露的接口，这点尤为重要，。

性能

是否能满足性能需求。

敏感数据的是否经过处理

例如传递交易密码、登录账号等等。

 

透传：即透明传送，无论传输业务如何，网络只负责将需要传送的业务送达目的节点，同时保证传输的质量即可，而不对传输的业务进行处理。       

透传消息：对于传递的通道来说无需理会消息体格式及内容，通道只负责消息的传递，对消息不做任何处理，当客户端接收到透传消息后，由客户端自己来决定如何处理消息。正是因为透传消息可以自定义消息体，也可以自定义消息的展示方式及后续动作处理，所以弥补了通知栏消息的一些不足之处(通知栏消息是直接展示出来，相关的动作客户端无法捕获到)。       

透传流程：推送服务端接收到推送的消息后，不做任何处理，直接发送给目标用户。当客户端SDK接收到透传消息后，以广播方式发送给客户端，客户端在配置的第三方BroadReceiver里接收到透传消息后进行处理。