接口測試及經常使用接口測試工具

首先，什麼是接口呢？

接口通常來講有兩種，一種是程序內部的接口，一種是系統對外的接口。
系統對外的接口：好比你要從別的網站或服務器上獲取資源或信息，別人確定不會把數據庫共享給你，他只能給你提供一個他們寫好的方法來獲取數據，你引用他提供的接口就能使用他寫好的方法，從而達到數據共享的目的，好比說我們用的app、網址這些它在進行數據處理的時候都是經過接口來進行調用的。
程序內部的接口：方法與方法之間，模塊與模塊之間的交互，程序內部拋出的接口，好比bbs系統，有登陸模塊、發帖模塊等等，那你要發帖就必須先登陸，要發帖就得登陸，那麼這兩個模塊就得有交互，它就會拋出一個接口，供內部系統進行調用。

1、常見接口：

一、webService接口：是走soap協議經過http傳輸，請求報文和返回報文都是xml格式的，咱們在測試的時候都用經過工具才能進行調用，測試。可使用的工具備SoapUI、jmeter、loadrunner等；

二、http api接口：是走http協議，經過路徑來區分調用的方法，請求報文都是key-value形式的，返回報文通常都是json串，有get和post等方法，這也是最經常使用的兩種請求方式。可使用的工具備postman、RESTClient、jmeter、loadrunner等；

2、前端和後端：

 在說接口測試以前，咱們先來搞清楚這兩個概念，前端和後端。
      前端是什麼呢，對於web端來講，我們使用的網頁，打開的網站，這都是前端，這些都是html、css寫的；對於app端來講呢，它就是我們用的app，android或者object-C（開發ios上的app）開發的，它的做用就是顯示頁面，讓咱們看到漂亮的頁面，以及作一些簡單的校驗，好比說非空校驗，我們在頁面上操做的時候，這些業務邏輯、功能，好比說你購物，發微博這些功能是由後端來實現的，後端去控制你購物的時候扣你的餘額，發微博發到哪一個帳號下面，那前端和後端是怎麼交互的呢，就是經過接口。
      前面說的你可能很差理解，你只需記住：前端負責貌美如花，後端負責掙錢養家。

3、什麼是接口測試：

接口測試是測試系統組件間接口的一種測試。接口測試主要用於檢測外部系統與系統之間以及內部各個子系統之間的交互點。測試的重點是要檢查數據的交換，傳遞和控制管理過程，以及系統間的相互邏輯依賴關係等。

OK，上面是百度百科上說的，下面纔是我說的

其實我以爲接口測試很簡單，比通常的功能測試還簡單（這話我先這樣說，之後可能會刪O(∩_∩)O哈！），如今找工做好多公司都要求有接口測試經驗，也有好多人問我（也就兩三我的）什麼是接口測試，本着不懂也要裝懂的態度，我會說：所謂接口測試就是經過測試不一樣狀況下的入參與之相應的出參信息來判斷接口是否符合或知足相應的功能性、安全性要求。

我爲啥說接口測試比功能測試簡單呢，由於功能測試是從頁面輸入值，而後經過點擊按鈕或連接等傳值給後端，並且功能測試還要測UI、前端交互等功能，但接口測試沒有頁面，它是經過接口規範文檔上的調用地址、請求參數，拼接報文，而後發送請求，檢查返回結果，因此它只需測入參和出參就好了，相對來講簡單了很多。

4、接口組成

接口都有那些部分組成呢？

首先，接口文檔應該包含如下內容：

一、接口說明
二、調用url
三、請求方法（get\post）
四、請求參數、參數類型、請求參數說明
五、返回參數說明

由接口文檔可知，接口至少應有請求地址、請求方法、請求參數（入參和出參）組成，部分接口有請求頭header。

標頭 (header)：是服務器以HTTP協議傳HTML資料到瀏覽器前所送出的字串，在標頭與 HTML 文件之間尚需空一行分隔，通常存放cookie、token等信息

有同窗問我header和入參有什麼關係？它們不都是發送到服務器的參數嗎？

OK，首先，它們確實都是發送到服務器裏的參數，但它們是有區別的，header裏存放的參數通常存放的是一些校驗信息，好比cookie，它是爲了校驗這個請求是否有權限請求服務器，若是有，它才能請求服務器，而後把請求地址連同入參一塊兒發送到服務器，而後服務器會根據地址和入參來返回出參。也就是說，服務器是先接受header信息進行判斷該請求是否有權限請求，判斷有權限後，纔會接受請求地址和入參的。

五、爲何要作接口測試：

你們都知道，接口其實就是前端頁面或APP等調用與後端作交互用的，因此好多人都會問，我功能測試都測好了，爲何還要測接口呢？OK，在回答這個問題以前，先舉個栗子：

好比測試用戶註冊功能，規定用戶名爲6~18個字符，包含字母（區分大小寫）、數字、下劃線。首先功能測試時確定會對用戶名規則進行測試時，好比輸入20個字符、輸入特殊字符等，但這些可能只是在前端作了校驗，後端可能沒作校驗，若是有人經過抓包繞過前端校驗直接發送到後端怎麼辦呢？試想一下，若是用戶名和密碼未在後端作校驗，而有人又繞過前端校驗的話，那用戶名和密碼不就能夠隨便輸了嗎？若是是登陸可能會經過SQL注入等手段來隨意登陸，甚至能夠獲取管理員權限，那這樣不是很恐怖？

因此，接口測試的必要性就體現出來了：

①、能夠發現不少在頁面上操做發現不了的bug

②、檢查系統的異常處理能力

③、檢查系統的安全性、穩定性

④、前端隨便變，接口測好了，後端不用變

6、接口測試怎麼測：

在進行接口測試前，還須要瞭解：

1）、GET和POST請求：
    若是是get請求的話，直接在瀏覽器裏輸入就好了，只要在瀏覽器裏面直接能請求到的，都是get請求，若是是post的請求的話，就不行了，就得藉助工具來發送。
GET請求和POST請求的區別：
    一、GET使用URL或Cookie傳參。而POST將數據放在BODY中。
    二、GET的URL會有長度上的限制，則POST的數據則能夠很是大。
    三、POST比GET安全，由於數據在地址欄上不可見。
    四、通常get請求用來獲取數據，post請求用來發送數據。
其實上面這幾點，只有最後一點說的是比較靠譜的，第一點post請求也能夠把數據放到url裏面，get請求其實也沒長度限制，post請求看起來參數是隱式的，稍微安全那麼一些些，可是那只是對於小白用戶來講的，就算post請求，你經過抓包也是能夠抓到參數的。因此上面這些面試的時候你說出來就好了。

2）、http狀態碼

每發出一個http請求以後，都會有一個響應，http自己會有一個狀態碼，來標示這個請求是否成功，常見的狀態碼有如下幾種：
一、200 2開頭的都表示這個請求發送成功，最多見的就是200，就表明這個請求是ok的，服務器也返回了。
二、300 3開頭的表明重定向，最多見的是302，把這個請求重定向到別的地方了，
三、400 400表明客戶端發送的請求有語法錯誤，401表明訪問的頁面沒有受權，403表示沒有權限訪問這個頁面，404表明沒有這個頁面
四、500 5開頭的表明服務器有異常，500表明服務器內部異常，504表明服務器端超時，沒返回結果

接下來再說接口測試怎麼測：

1）、通用接口用例設計

①、經過性驗證：首先確定要保證這個接口功能是好使的，也就是正常的經過性測試，按照接口文檔上的參數，正常傳入，是否能夠返回正確的結果。
②、參數組合：如今有一個操做商品的接口，有個字段type，傳1的時候表明修改商品，商品id、商品名稱、價格有一個是必傳的，type傳2的時候是刪除商品，商品id　　是必傳的，這樣的，就要測參數組合了，type傳1的時候，只傳商品名稱能不能修改爲功，id、名稱、價格都傳的時候能不能修改爲功。

③、接口安全：
     一、繞過驗證，好比說購買了一個商品，它的價格是300元，那我在提交訂單時候，我把這個商品的價格改爲3元，後端有沒有作驗證，更狠點，我把錢改爲-3，是否是個人餘額還要增長？
     二、繞過身份受權，好比說修改商品信息接口，那必須得是賣家才能修改，那我傳一個普通用戶，能不能修改爲功，我傳一個其餘的賣家能不能修改爲功
     三、參數是否加密，好比說我登錄的接口，用戶名和密碼是否是加密，若是不加密的話，別人攔截到你的請求，就能獲取到你的信息了，加密規則是否容易破解。
     四、密碼安全規則，密碼的複雜程度校驗

④、異常驗證：
　　所謂異常驗證，也就是我不按照你接口文檔上的要求輸入參數，來驗證接口對異常狀況的校驗。好比說必填的參數不填，輸入整數類型的，傳入字符串類型，長度是10的，傳11，總之就是你說怎麼來，我就不怎麼來，其實也就這三種，必傳非必傳、參數類型、入參長度。

2）、根據業務邏輯來設計用例
　　根據業務邏輯來設計的話，就是根據本身系統的業務來設計用例，這個每一個公司的業務不同，就得具體的看本身公司的業務了，其實這也和功能測試設計用例是同樣的。
    　　舉個例子，拿bbs來講，bbs的需求是這樣的：
  　　  一、登陸失敗5次，就須要等待15分鐘以後再登陸
  　　  二、新註冊的用戶須要過了實習期才能發帖
   　　 三、刪除帖子扣除積分
   　　 四、......
   　　像這樣的你就要把這些測試點列出來，而後再去造數據測試對應的測試點。

 七、用什麼工具測

　　接口測試的工具不少，好比 postman、RESTClient、jmeter、loadrunner、SoapUI等，本人首推的測試工具是postman和jmeter，接下來就簡單介紹下如何使用這兩款工具進行接口測試，其餘工具本次暫不介紹。

1）、Postman是谷歌的一款接口測試插件，它使用簡單，支持用例管理，支持get、post、文件上傳、響應驗證、變量管理、環境參數管理等功能，能夠批量運行，並支持用例導出、導入。

jmeter是一款100%純Java編寫的免費開源的工具，它主要用來作性能測試，相比loadrunner來講，它內存佔用小，免費開源，輕巧方便、無需安裝，愈來愈被大衆所喜好。

注：如下用例中所用地址皆爲本人在本地所搭的環境，外網沒法訪問，見諒。

①、獲取用戶信息：該接口用於經過userid獲取用戶信息

　　請求地址：http://192.168.1.102:8081/getuser

　　請求方式：POST/GET

       入參：

參數	數據類型(長度)	是否必傳	備註
userid	String	Y	用戶id

 出參：

參數	數據類型(長度)	備註
code	int	狀態碼200爲成功，500爲異常
age	int	年齡
id	string	用戶id
name	String	用戶姓名

  postman中請求以下

 jmeter中請求以下：

  ②、獲取用戶信息：須要添加header，Content-Type application/json

1.1    請求地址

http://192.168.1.102:8081/getuser2

1.2    請求方式

get/post

1.3     入參

參數	數據類型(長度)	是否必傳	備註
userid	String	Y	用戶id

 1.4     出參

參數	數據類型(長度)	備註
code	int	狀態碼200爲成功，500爲異常
userid	int	用戶id
name	string	用戶名稱
age	int	用戶年齡

 postman測試以下，本次入參爲json類型，固然文檔中沒說非要用json，用其餘方式也是能夠的

 jmeter測試以下

 

 ③、修改用戶餘額2

1.1     功能描述

功能描述：須要添加cookie，token token是寫死的token12345

1.2    請求地址

http://192.168.1.102:8081/setmoney2

1.3    請求方式

Post

1.4    入參

參數	數據類型(長度)	是否必傳	備註
userid	String	Y	用戶id
money	String	Y	修改的餘額數值

 1.5     出參

參數	數據類型(長度)	備註
code	int	狀態碼200爲成功，500爲異常
success	String	狀態

  postman測試以下：

 jmeter測試以下：

 

 

 ④文件上傳

postman：

jmeter:

 ⑤、請求webService接口

請求webService接口須要用到的工具是SoapUI，以下圖

 

在jmeter裏請求以下：