01_接口測試介紹

轉：http://www.javashuo.com/article/p-amqobqag-t.html 和 http://www.javashuo.com/article/p-fisydxvb-br.html

 

首先，什麼是接口呢？

接口通常來講有兩種，一種是程序內部的接口，一種是系統對外的接口。
系統對外的接口：好比你要從別的網站或服務器上獲取資源或信息，別人確定不會把數據庫共享給你，他只能給你提供一個他們寫好的方法來獲取數據，你引用他提供的接口就能使用他寫好的方法，從而達到數據共享的目的，好比說我們用的app、網址這些它在進行數據處理的時候都是經過接口來進行調用的。
程序內部的接口：方法與方法之間，模塊與模塊之間的交互，程序內部拋出的接口，好比bbs系統，有登陸模塊、發帖模塊等等，那你要發帖就必須先登陸，要發帖就得登陸，那麼這兩個模塊就得有交互，它就會拋出一個接口，供內部系統進行調用。

1、常見接口：

一、webService接口：是走soap協議經過http傳輸，請求報文和返回報文都是xml格式的，咱們在測試的時候都用經過工具才能進行調用，測試。可使用的工具備SoapUI、jmeter、loadrunner等；

二、http api接口：是走http協議，經過路徑來區分調用的方法，請求報文都是key-value形式的，返回報文通常都是json串，有get和post等方法，這也是最經常使用的兩種請求方式。可使用的工具備postman、RESTClient、jmeter、loadrunner等；

2、前端和後端：

 在說接口測試以前，咱們先來搞清楚這兩個概念，前端和後端。
      前端是什麼呢，對於web端來講，我們使用的網頁，打開的網站，這都是前端，這些都是html、css寫的；對於app端來講呢，它就是我們用的app，android或者object-C（開發ios上的app）開發的，前端它的做用就是顯示頁面，讓咱們看到漂亮的頁面，以及作一些簡單的校驗，好比說非空校驗，我們在頁面上操做的時候，這些業務邏輯、功能，好比說你購物，發微博這些功能是由後端來實現的，後端去控制你購物的時候扣你的餘額，發微博發到哪一個帳號下面，那前端和後端是怎麼交互的呢，就是經過接口。
      前面說的你可能很差理解，你只需記住：前端負責貌美如花，後端負責掙錢養家。

3、什麼是接口測試：

接口測試是測試系統組件間接口的一種測試。接口測試主要用於檢測外部系統與系統之間以及內部各個子系統之間的交互點。測試的重點是要檢查數據的交換，傳遞和控制管理過程，以及系統間的相互邏輯依賴關係等。

OK，上面是百度百科上說的，下面纔是我說的

其實我以爲接口測試很簡單，比通常的功能測試還簡單（這話我先這樣說，之後可能會刪O(∩_∩)O哈！），如今找工做好多公司都要求有接口測試經驗，也有好多人問我（也就兩三我的）什麼是接口測試，本着不懂也要裝懂的態度，我會說：所謂接口測試就是經過測試不一樣狀況下的入參與之相應的出參信息來判斷接口是否符合或知足相應的功能性、安全性要求。

不一樣的URL控制不一樣的參數，不一樣的參數控制後端不一樣的功能，URL組成一個接口。

我爲啥說接口測試比功能測試簡單呢，由於功能測試是從頁面輸入值，而後經過點擊按鈕或連接等傳值給後端，並且功能測試還要測UI、前端交互等功能，但接口測試沒有頁面，它是經過接口規範文檔上的調用地址、請求參數，拼接報文，而後發送請求，檢查返回結果，因此它只需測入參和出參就好了，相對來講簡單了很多。

4、接口組成

4.1 接口都有那些部分組成呢？

一個URL就是一個接口：接口大體會分爲一下幾個部分：

 

 

 

1. 請求協議：

   • http — 普通的http請求
   • https — 加密的http請求，傳輸數據更加安全
   • ftp — 文件傳輸協議，主要用來傳輸文件

2. 請求IP：就是指提供接口的系統所部署的服務器地址

3. 請求端口：若是不填端口，默認是80，不然須要填寫端口號

4. 接口路徑：指系統提供的接口在什麼位置

5. 接口參數：參數在接口路徑後，用「?」來表示路徑地址完了，剩下的都是參數了，用「&」來區分參數個數，

6. http請求方式

GET --- 經過請求URI獲得資源
POST --- 用於添加新的內容
PUT --- 用於修改某個內容
DELETE --- 刪除某個內容
CONNECT --- 用於代理進行傳輸，如使用SSL
OPTIONS --- 詢問能夠執行哪些方法
PATCH --- 部分文檔更改
PROPFIND (wedav) --- 查看屬性
PROPPATCH (wedav) --- 設置屬性
MKCOL (wedav) --- 建立集合（文件夾）
COPY (wedav) --- 拷貝
MOVE (wedav) --- 移動
LOCK (wedav) --- 加鎖
UNLOCK (wedav) --- 解鎖
TRACE --- 用於遠程診斷服務器
HEAD --- 相似於GET, 可是不返回body信息，用於檢查對象是否存在，以及獲得對象的元數據

      7.http請求頭

   請求頭包含許多有關的客戶端環境和請求正文的有用信息。例如，請求頭能夠聲明瀏覽器所用的語言，請求正文的長度。示例：

Accept:image/gif.image/jpeg./ Accept-Language:zh-cn Connection:Keep-Alive Host:localhost User-Agent:Mozila/4.0(compatible:MSIE5.01:Windows NT5.0) Accept-Encoding:gzip,deflate.

      8.http請求體（請求正文）

    能夠有不少種請求體。

　　json格式

　　xml格式

　　html格式

　　二進制格式( 多數用於圖片 )

　　字符串格式

請求體格式介紹：

互聯網本質是數據傳輸，數據傳輸須要數據載體，

好比:頁面信息就是存儲在html這種數據載體中。HTML格式：

　

xml格式:，能夠自定義標籤：

JSON語法描述性不及標籤語言，因此部分場景還需使用html和xml，若是傳遞是少許數據的話，可以使用JSON：

 JSON語法：其中對象裏面可有數組，數組裏面也可有對象，

 

 

4.2 接口文檔應該包含如下內容：

一、接口說明
二、調用url
三、請求方法（get\post）
四、請求參數、參數類型、請求參數說明
五、返回參數說明

由接口文檔可知，接口至少應有請求地址、請求方法、請求參數（入參和出參）組成，部分接口有請求頭header。

標頭 (header)：是服務器以HTTP協議傳HTML資料到瀏覽器前所送出的字串，在標頭與 HTML 文件之間尚需空一行分隔，通常存放cookie、token等校驗信息。

服務器是先接受header中的校驗信息如cookie，進行判斷該請求是否有權限請求，判斷有權限後，纔會接受請求地址和入參的。

 

 4.4 複雜一點的接口，RESTful

以上的接口是傳參，還有一種經過請求方法不一樣的形成較複雜的接口

一個用戶接口能夠經過如下4種不一樣方式的請求，來作不一樣的事情：

1. 獲取用戶信息
2. 建立用戶
3. 修改用戶
4. 刪除用戶

這時，咱們須要一種規則，咱們稱它爲「RESTful」標準：

1. 當用「GET」方式時，只用來獲取數據，成功了返回http狀態碼200。數據提交方式，方式1: URL?鍵=值&鍵=值  即{鍵:值,鍵:值}
2. 當用「POST」方式時，只用來建立數據，成功了返回http狀態碼201。多個數據提交方式：方式1: URL?鍵=值&鍵=值  即{鍵:值,鍵:值}     方式2:JSON格式 （可讀性較好）。響應的內容指添加的記錄 
3. 當用「PUT」方式時，只用來修改數據，成功了返回http狀態碼203。多個數據提交方式：方式1: URL?鍵=值&鍵=值  即{鍵:值,鍵:值}     方式2:JSON格式 （可讀性較好）。
4. 當用「DELETE」方式時，只用來刪除數據，成功了返回http狀態碼204。數據提交方式，方式1: URL?鍵=值&鍵=值  即{鍵:值,鍵:值}
5. 當請求發送失敗，返回http狀態碼400

 

5、爲何要作接口測試：

你們都知道，接口其實就是前端頁面或APP等調用與後端作交互用的，因此好多人都會問，我功能測試都測好了，爲何還要測接口呢？OK，在回答這個問題以前，先舉個栗子：

好比測試用戶註冊功能，規定用戶名爲6~18個字符，包含字母（區分大小寫）、數字、下劃線。首先功能測試時確定會對用戶名規則進行測試時，好比輸入20個字符、輸入特殊字符等，但這些可能只是在前端作了校驗，後端可能沒作校驗，若是有人經過抓包繞過前端校驗直接發送到後端怎麼辦呢？試想一下，若是用戶名和密碼未在後端作校驗，而有人又繞過前端校驗的話，那用戶名和密碼不就能夠隨便輸了嗎？若是是登陸可能會經過SQL注入等手段來隨意登陸，甚至能夠獲取管理員權限，那這樣不是很恐怖？

因此，接口測試的必要性就體現出來了：

①、能夠發現不少在頁面上操做發現不了的bug

②、檢查系統的異常處理能力

③、檢查系統的安全性、穩定性

④、前端隨便變，接口測好了，後端不用變

6、接口測試怎麼測：

在進行接口測試前，還須要瞭解：

1）、GET和POST請求：
    若是是get請求的話，直接在瀏覽器裏輸入就好了，只要在瀏覽器裏面直接能請求到的，都是get請求，若是是post的請求的話，就不行了，就得藉助工具來發送。
GET請求和POST請求的區別：
    一、GET使用URL或Cookie傳參。而POST將數據放在BODY中。
    二、GET的URL會有長度上的限制，則POST的數據則能夠很是大。
    三、POST比GET安全，由於數據在地址欄上不可見。
    四、通常get請求用來獲取數據，post請求用來發送數據。
其實上面這幾點，只有最後一點說的是比較靠譜的，第一點post請求也能夠把數據放到url裏面，get請求其實也沒長度限制，post請求看起來參數是隱式的，稍微安全那麼一些些，可是那只是對於小白用戶來講的，就算post請求，你經過抓包也是能夠抓到參數的。因此上面這些面試的時候你說出來就好了。

2）、http狀態碼

每發出一個http請求以後，都會有一個響應，http自己會有一個狀態碼，來標示這個請求是否成功，常見的狀態碼有如下幾種：
一、200 2開頭的都表示這個請求發送成功，最多見的就是200，就表明這個請求是ok的，服務器也返回了。
二、300 3開頭的表明重定向，最多見的是302，把這個請求重定向到別的地方了，
三、400 400表明客戶端發送的請求有語法錯誤，401表明訪問的頁面沒有受權，403表示沒有權限訪問這個頁面，404表明沒有這個頁面
四、500 5開頭的表明服務器有異常，500表明服務器內部異常，504表明服務器端超時，沒返回結果

接下來再說接口測試怎麼測：

1）、通用接口用例設計

①、經過性驗證：首先確定要保證這個接口功能是好使的，也就是正常的經過性測試，按照接口文檔上的參數，正常傳入，是否能夠返回正確的結果。
②、參數組合：如今有一個操做商品的接口，有個字段type，傳1的時候表明修改商品，商品id、商品名稱、價格有一個是必傳的，type傳2的時候是刪除商品，商品id　　是必傳的，這樣的，就要測參數組合了，type傳1的時候，只傳商品名稱能不能修改爲功，id、名稱、價格都傳的時候能不能修改爲功。

③、接口安全：
     一、繞過驗證，好比說購買了一個商品，它的價格是300元，那我在提交訂單時候，我把這個商品的價格改爲3元，後端有沒有作驗證，更狠點，我把錢改爲-3，是否是個人餘額還要增長？
     二、繞過身份受權，好比說修改商品信息接口，那必須得是賣家才能修改，那我傳一個普通用戶，能不能修改爲功，我傳一個其餘的賣家能不能修改爲功
     三、參數是否加密，好比說我登錄的接口，用戶名和密碼是否是加密，若是不加密的話，別人攔截到你的請求，就能獲取到你的信息了，加密規則是否容易破解。
     四、密碼安全規則，密碼的複雜程度校驗

④、異常驗證：
　　所謂異常驗證，也就是我不按照你接口文檔上的要求輸入參數，來驗證接口對異常狀況的校驗。好比說必填的參數不填，輸入整數類型的，傳入字符串類型，長度是10的，傳11，總之就是你說怎麼來，我就不怎麼來，其實也就這三種，必傳非必傳、參數類型、入參長度。

五、性能測試
接口併發狀況，如上面提到的：一個帳號，同時（大於2個請求）對最後一個商品下單，或不一樣帳號，對最後一個商品下單
接口響應時間，響應時間太長了，確定須要優化，通常都是毫秒級別

2）、根據業務邏輯來設計用例
　　根據業務邏輯來設計的話，就是根據本身系統的業務來設計用例，這個每一個公司的業務不同，就得具體的看本身公司的業務了，其實這也和功能測試設計用例是同樣的。
    　　舉個例子，拿bbs來講，bbs的需求是這樣的：
  　　  一、登陸失敗5次，就須要等待15分鐘以後再登陸
  　　  二、新註冊的用戶須要過了實習期才能發帖
   　　 三、刪除帖子扣除積分
   　　 四、......
   　　像這樣的你就要把這些測試點列出來，而後再去造數據測試對應的測試點。

 

 

 七、用什麼工具測

　　接口測試的工具不少，好比 postman、RESTClient、jmeter、loadrunner、SoapUI等，

　　HTTP/SOAP協議接口的功能測試：（轉自：http://www.javashuo.com/article/p-dwuwjrcv-cs.html）

　　一、瀏覽器URL（GET請求） http://127.0.0.1:8000/login/?username=zhangsan&password=123456

　　二、瀏覽器插件：Poster、Postman 簡單的接口測試。

　　三、獨立的接口工具： Jmeter(支持SOAP)、 robot framework(RequestsLibrary) 、soapUI（SOAP協議）

　　四、寫代碼（接口測試框架）：urllib、urllib二、requests(urllib3) + unittest + HTMLTestRunner + PyMySQL。

 

　　HTTP協議接口的性能測試：

　　一、接口性能測試工具：LoadRunner、Jmeter、soapUI 

　　二、寫代碼：requests + threading ---> （能夠測試加密的接口）

 

 

1）、Postman是谷歌的一款接口測試插件，它使用簡單，支持用例管理，支持get、post、文件上傳、響應驗證、變量管理、環境參數管理等功能，能夠批量運行，並支持用例導出、導入。

jmeter是一款100%純Java編寫的免費開源的工具，它主要用來作性能測試，相比loadrunner來講，它內存佔用小，免費開源，輕巧方便、無需安裝，愈來愈被大衆所喜好。