測試流程-接口測試

首先，什麼是接口呢？

接口通常來講有兩種，一種是程序內部的接口，一種是系統對外的接口。
系統對外的接口：好比你要從別的網站或服務器上獲取資源或信息，別人確定不會把數據庫共享給你，他只能給你提供一個他們寫好的方法來獲取數據，你引用他提供的接口就能使用他寫好的方法，從而達到數據共享的目的，好比說我們用的app、網址這些它在進行數據處理的時候都是經過接口來進行調用的。
程序內部的接口：方法與方法之間，模塊與模塊之間的交互，程序內部拋出的接口，好比bbs系統，有登陸模塊、發帖模塊等等，那你要發帖就必須先登陸，要發帖就得登陸，那麼這兩個模塊就得有交互，它就會拋出一個接口，供內部系統進行調用。

1、常見接口：

一、webService接口：是走soap協議經過http傳輸，請求報文和返回報文都是xml格式的，咱們在測試的時候都用經過工具才能進行調用，測試。可使用的工具備SoapUI、jmeter、loadrunner等；

二、http api接口：是走http協議，經過路徑來區分調用的方法，請求報文都是key-value形式的，返回報文通常都是json串，有get和post等方法，這也是最經常使用的兩種請求方式。可使用的工具備postman、RESTClient、jmeter、loadrunner等；

2、前端和後端：

在說接口測試以前，咱們先來搞清楚這兩個概念，前端和後端。
      

前端是什麼呢，對於web端來講，我們使用的網頁，打開的網站，這都是前端，這些都是html、css寫的；對於app端來講呢，它就是我們用的app，android或者object-C（開發ios上的app）開發的，它的做用就是顯示頁面，讓咱們看到漂亮的頁面，以及作一些簡單的校驗，好比說非空校驗，我們在頁面上操做的時候，這些業務邏輯、功能，好比說你購物，發微博這些功能是由後端來實現的，後端去控制你購物的時候扣你的餘額，發微博發到哪一個帳號下面，那前端和後端是怎麼交互的呢，就是經過接口。
前面說的你可能很差理解，你只需記住：前端負責貌美如花，後端負責掙錢養家。

 

 

從上面這兩張圖對比能夠看出，兩個測試活動中相同的部分有功能測試、邊界分析測試和性能測試，其它部分因爲各自特性或關注點不一樣須要進行特殊的測試，在此不作討論。接下來咱們針對以上三部分相同的內容再進行分析：

一、基本功能測試：

　　因爲是針對基本業務功能進行測試，因此這部分是兩種測試重合度最高的一塊，開發同窗一般所指的也主要是這部分的內容。

二、邊界分析測試：

　　在基本功能測試的基礎上考慮輸入輸出的邊界條件，這部份內容也會有重複的部分（好比業務規則的邊界）。可是，前端的輸入輸出不少時候都是提供固守的值讓用戶選擇（以下拉框），在這種狀況下測試的邊界範圍就很是有限，但接口測試就不存在這方面的限制，相對來講接口能夠覆蓋的範圍更廣，一樣的，接口出現問題的機率也更高。

 三、性能測試：

　　這個比較容易區分，雖然都須要作性能測試，但關注點確大不相同。App端性能主要關注與手機相關的特性，如手機cpu、內存、流量、fps等。而接口性能主要關注接口響應時間、併發、服務端資源的使用狀況等。兩種測試時的策略和方法都有很大區別，因此這部份內容是須要分開單獨進行測試的，理論上來講這也是不一樣的部分。

 

綜論：

      一、接口測試和app測試的活動有部分重複的內容，主要集中在業務功能測試方面。除此以外，針對各自特性的測試都不同，須要分別進行有針對性的測試，才能確保整個產品的質量。

　　二、接口測試能夠關注於服務器邏輯驗證，而UI測試能夠關注於頁面展現邏輯及界面前端與服務器集成驗證

3、什麼是接口測試：

接口測試是測試系統組件間接口的一種測試。接口測試主要用於檢測外部系統與系統之間以及內部各個子系統之間的交互點。測試的重點是要檢查數據的交換，傳遞和控制管理過程，以及系統間的相互邏輯依賴關係等。

OK，上面是百度百科上說的，下面纔是我說的

其實我以爲接口測試很簡單，比通常的功能測試還簡單（這話我先這樣說，之後可能會刪O(∩_∩)O哈！），如今找工做好多公司都要求有接口測試經驗，也有好多人問我（也就兩三我的）什麼是接口測試，本着不懂也要裝懂的態度，我會說：所謂接口測試就是經過測試不一樣狀況下的入參與之相應的出參信息來判斷接口是否符合或知足相應的功能性、安全性要求。

我爲啥說接口測試比功能測試簡單呢，由於功能測試是從頁面輸入值，而後經過點擊按鈕或連接等傳值給後端，並且功能測試還要測UI、前端交互等功能，但接口測試沒有頁面，它是經過接口規範文檔上的調用地址、請求參數，拼接報文，而後發送請求，檢查返回結果，因此它只需測入參和出參就好了，相對來講簡單了很多。

 

4、接口組成

接口都有那些部分組成呢？

首先，接口文檔應該包含如下內容：

一、接口說明
二、調用url
三、請求方法（get\post）
四、請求參數、參數類型、請求參數說明
五、返回參數說明

由接口文檔可知，接口至少應有請求地址、請求方法、請求參數（入參和出參）組成，部分接口有請求頭header。

標頭 (header)：是服務器以HTTP協議傳HTML資料到瀏覽器前所送出的字串，在標頭與 HTML 文件之間尚需空一行分隔，通常存放cookie、token等信息

有同窗問我header和入參有什麼關係？它們不都是發送到服務器的參數嗎？

OK，首先，它們確實都是發送到服務器裏的參數，但它們是有區別的，header裏存放的參數通常存放的是一些校驗信息，好比cookie，它是爲了校驗這個請求是否有權限請求服務器，若是有，它才能請求服務器

 

5、爲何要作接口測試：

你們都知道，接口其實就是前端頁面或APP等調用與後端作交互用的，因此好多人都會問，我功能測試都測好了，爲何還要測接口呢？OK，在回答這個問題以前，先舉個栗子：

好比測試用戶註冊功能，規定用戶名爲6~18個字符，包含字母（區分大小寫）、數字、下劃線。首先功能測試時確定會對用戶名規則進行測試時，好比輸入20個字符、輸入特殊字符等，但這些可能只是在前端作了校驗，後端可能沒作校驗，若是有人經過抓包繞過前端校驗直接發送到後端怎麼辦呢？試想一下，若是用戶名和密碼未在後端作校驗，而有人又繞過前端校驗的話，那用戶名和密碼不就能夠隨便輸了嗎？若是是登陸可能會經過SQL注入等手段來隨意登陸，甚至能夠獲取管理員權限，那這樣不是很恐怖？

因此，接口測試的必要性就體現出來了：

①、能夠發現不少在頁面上操做發現不了的bug

②、檢查系統的異常處理能力

③、檢查系統的安全性、穩定性

④、前端隨便變，接口測好了，後端不用變

 

6、接口測試怎麼測：

在進行接口測試前，還須要瞭解：

1）、GET和POST請求：
    若是是get請求的話，直接在瀏覽器裏輸入就好了，只要在瀏覽器裏面直接能請求到的，都是get請求，若是是post的請求的話，就不行了，就得藉助工具來發送。
GET請求和POST請求的區別：
    一、GET使用URL或Cookie傳參。而POST將數據放在BODY中。
    二、GET的URL會有長度上的限制，則POST的數據則能夠很是大。
    三、POST比GET安全，由於數據在地址欄上不可見。
    四、通常get請求用來獲取數據，post請求用來發送數據。
其實上面這幾點，只有最後一點說的是比較靠譜的，第一點post請求也能夠把數據放到url裏面，get請求其實也沒長度限制，post請求看起來參數是隱式的，稍微安全那麼一些些，可是那只是對於小白用戶來講的，就算post請求，你經過抓包也是能夠抓到參數的。因此上面這些面試的時候你說出來就好了。

2）、http狀態碼

每發出一個http請求以後，都會有一個響應，http自己會有一個狀態碼，來標示這個請求是否成功，常見的狀態碼有如下幾種：
一、200 2開頭的都表示這個請求發送成功，最多見的就是200，就表明這個請求是ok的，服務器也返回了。
二、300 3開頭的表明重定向，最多見的是302，把這個請求重定向到別的地方了，
三、400 400表明客戶端發送的請求有語法錯誤，401表明訪問的頁面沒有受權，403表示沒有權限訪問這個頁面，404表明沒有這個頁面
四、500 5開頭的表明服務器有異常，500表明服務器內部異常，504表明服務器端超時，沒返回結果

接下來再說接口測試怎麼測：

1）、通用接口用例設計

①、經過性驗證：首先確定要保證這個接口功能是好使的，也就是正常的經過性測試，按照接口文檔上的參數，正常傳入，是否能夠返回正確的結果。
②、參數組合：如今有一個操做商品的接口，有個字段type，傳1的時候表明修改商品，商品id、商品名稱、價格有一個是必傳的，type傳2的時候是刪除商品，商品id　　是必傳的，這樣的，就要測參數組合了，type傳1的時候，只傳商品名稱能不能修改爲功，id、名稱、價格都傳的時候能不能修改爲功。

③、接口安全：
     一、繞過驗證，好比說購買了一個商品，它的價格是300元，那我在提交訂單時候，我把這個商品的價格改爲3元，後端有沒有作驗證，更狠點，我把錢改爲-3，是否是個人餘額還要增長？
     二、繞過身份受權，好比說修改商品信息接口，那必須得是賣家才能修改，那我傳一個普通用戶，能不能修改爲功，我傳一個其餘的賣家能不能修改爲功
     三、參數是否加密，好比說我登錄的接口，用戶名和密碼是否是加密，若是不加密的話，別人攔截到你的請求，就能獲取到你的信息了，加密規則是否容易破解。
     四、密碼安全規則，密碼的複雜程度校驗

④、異常驗證：
　　所謂異常驗證，也就是我不按照你接口文檔上的要求輸入參數，來驗證接口對異常狀況的校驗。好比說必填的參數不填，輸入整數類型的，傳入字符串類型，長度是10的，傳11，總之就是你說怎麼來，我就不怎麼來，其實也就這三種，必傳非必傳、參數類型、入參長度。

2）、根據業務邏輯來設計用例
　　根據業務邏輯來設計的話，就是根據本身系統的業務來設計用例，這個每一個公司的業務不同，就得具體的看本身公司的業務了，其實這也和功能測試設計用例是同樣的。
    　　舉個例子，拿bbs來講，bbs的需求是這樣的：
  　　  一、登陸失敗5次，就須要等待15分鐘以後再登陸
  　　  二、新註冊的用戶須要過了實習期才能發帖
   　　 三、刪除帖子扣除積分
   　　 四、......
   　　像這樣的你就要把這些測試點列出來，而後再去造數據測試對應的測試點。

 

7、用什麼工具測

接口測試的工具不少，好比 postman、RESTClient、jmeter、loadrunner、SoapUI等，本人首推的測試工具是postman和jmeter，接下來就簡單介紹下如何使用這兩款工具進行接口測試，其餘工具本次暫不介紹。

1）、Postman是谷歌的一款接口測試插件，它使用簡單，支持用例管理，支持get、post、文件上傳、響應驗證、變量管理、環境參數管理等功能，能夠批量運行，並支持用例導出、導入。

jmeter是一款100%純Java編寫的免費開源的工具，它主要用來作性能測試，相比loadrunner來講，它內存佔用小，免費開源，輕巧方便、無需安裝，愈來愈被大衆所喜好。

 

八. 接口測試持續集成

      對接口測試而言，持續集成自動化是核心內容，經過持自動化的手段咱們才能作到低成本高收益。目前咱們已經實現了接口自動化，主要應用於迴歸階段，後續還須要增強自動化的程度，包括但不限於下面的內容：

　　a) 流程方面：在迴歸階段增強接口異常場景的覆蓋度，並逐步向系統測試，冒煙測試階段延伸，最終達到全流程自動化。

　　b) 結果展現：更加豐富的結果展現、趨勢分析，質量統計和分析等

　　c) 問題定位：報錯信息、日誌更精準，方便問題復現與定位。

　　d) 結果校驗：增強自動化校驗能力，如數據庫信息校驗。

　　e) 代碼覆蓋率：不斷嘗試由目前的黑盒向白盒下探，提升代碼覆蓋率。

　　f) 性能需求：完善性能測試體系，經過自動化的手段監控接口性能指標是否正常。

九. 接口測試質量評估標準

　　a) 業務功能覆蓋是否完整

　　b) 業務規則覆蓋是否完整

　　c) 參數驗證是否達到要求（邊界、業務規則）

　　d) 接口異常場景覆蓋是否完整

　　e) 接口覆蓋率是否達到要求

　　f)  代碼覆蓋率是否達到要求

　　g) 性能指標是否知足要求

　　h) 安全指標是否知足要求