接口测试及常用工具

发表于:2020-11-13 10:23

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:~inger    来源:CSDN

  一、接口测试介绍:
  所谓接口测试就是通过测试不同情况下的入参与之相应的出参信息来判断接口是否符合或满足相应的功能性、安全性要求。
  接口测试相对来说会比功能简单很多,因为功能测试是从页面输入值,然后通过点击按钮或链接等传值给后端,而且功能测试还要测UI、前端交互等功能,但接口测试只需测入参和出参就行了,没有功能测试要测的页面,通过接口规范文档上的调用地址、请求参数,拼接报文,然后发送请求,检查返回结果。
  那么接口测试有这个必要性吗?
  比如测试用户注册功能,规定用户名为6~18个字符,包含字母(区分大小写)、数字、下划线。首先功能测试时肯定会对用户名规则进行测试时,比如输入20个字符、输入特殊字符等,但这些可能只是在前端做了校验,后端可能没做校验,如果有人通过抓包绕过前端校验直接发送到后端怎么办呢?试想一下,如果用户名和密码未在后端做校验,而有人又绕过前端校验的话,那用户名和密码不就可以随便输了吗?如果是登录可能会通过SQL注入等手段来随意登录,甚至可以获取管理员权限,那这样不是很恐怖?
  所以,接口测试的必要性就体现出来了:
  ①、将页面上难以操作出来的bug找出来
  ②、检查系统的异常处理能力
  ③、检查系统的安全性、稳定性,前端传参不可信,比如购物网站,前端价格不可能传入-1元,但是通过接口可以传入-1元
  ④、前端随便变,接口测好了,后端不用变
  1.越底层发现bug,它的修复成本是越低的。
  2.如今的系统复杂度不断上升,传统的测试方法成本急剧增加且测试效率大幅下降,接口测试可以提供这种情况下的解决方案。
  3. 接口测试相对容易实现自动化持续集成,且相对UI自动化也比较稳定,可以减少人工回归测试人力成本与时间,缩短测试周期,支持后端快速发版需求。接口持续集成是为什么能低成本高收益的根源。
  4. 现在很多系统前后端架构是分离的,从安全层面来说:
  (1)、只依赖前端进行限制已经完全不能满足系统的安全要求(绕过前面实在太容易), 需要后端同样进行控制,在这种情况下就需要从接口层面进行验证。
  (2)、前后端传输、日志打印等信息是否加密传输也是需要验证的,特别是涉及到用户的隐私信息,如身份证,银行卡等
  二、接口测测试点
  目的:测试接口的正确性和稳定性;
  原理:模拟客户端向服务器发送请求报文,服务器接收请求报文后对相应的报文做处理并向客户端返回应答,客户端接收应答的过程;
  重点:检查数据的交换,传递和控制管理过程,还包括处理的次数;
  核心:持续集成是接口测试的核心;
  优点:为高复杂性的平台带来高效的缺陷监测和质量监督能力,平台越复杂,系统越庞大,接口测试的效果越明显(提高测试效率,提升用户体验,降低研发成本);
  三、接口用例设计
  通常情况下主要测试最外层的两类接口:数据进入系统接口(调用外部系统的参数为本系统使用)和数据流出系统接口(验证系统处理后的数据是否正常); PS:设计用例时还需要注意外部接口提供给使用这些接口的外部用户什么功能,外部用户真正需要什么功能;
  1)、通用接口用例设计
  ①、通过性验证:首先肯定要保证这个接口功能是好使的,也就是正常的通过性测试,按照接口文档上的参数,正常传入,是否可以返回正确的结果。
  ②、参数组合:现在有一个操作商品的接口,有个字段type,传1的时候代表修改商品,商品id、商品名称、价格有一个是必传的,type传2的时候是删除商品,商品id  是必传的,这样的,就要测参数组合了,type传1的时候,只传商品名称能不能修改成功,id、名称、价格都传的时候能不能修改成功。
  ③、接口安全:
  1、绕过验证,比如说购买了一个商品,它的价格是300元,那我在提交订单时候,我把这个商品的价格改成3元,后端有没有做验证,更狠点,我把钱改成-3,是不是我的余额还要增加?
  2、绕过身份授权,比如说修改商品信息接口,那必须得是卖家才能修改,那我传一个普通用户,能不能修改成功,我传一个其他的卖家能不能修改成功
  3、参数是否加密,比如说我登陆的接口,用户名和密码是不是加密,如果不加密的话,别人拦截到你的请求,就能获取到你的信息了,加密规则是否容易破解。
  4、密码安全规则,密码的复杂程度校验
  ④、异常验证:所谓异常验证,也就是我不按照你接口文档上的要求输入参数,来验证接口对异常情况的校验。比如说必填的参数不填,输入整数类型的,传入字符串类型,长度是10的,传11,总之就是你说怎么来,我就不怎么来,其实也就这三种,必传非必传、参数类型、入参长度。
  2)、根据业务逻辑来设计用例
  根据业务逻辑来设计的话,就是根据自己系统的业务来设计用例,这个每个公司的业务不一样,就得具体的看自己公司的业务了,其实这也和功能测试设计用例是一样的。
  3、安全 主要是header,cookie,唯一识别码等。   比如我想创建一个集群,那我是不是要先登录呢。在接口测试的时候可以使用错误的token,或已过期的Token下发创建集群的请求并观察服务端的响应。创建集群,是不是只要登录了就能创建呢?答案显然不是的,有的用户只能查看的权限但无创建权限。那我们就可以使用只有查看权限的用户获取Token后再去下发创建集群的请求,看看结果如何。
  关于登录,用户的密码必须要加密后才能传输,否则也是不安全的。可以使用抓包工具进行查看。
  还有如果因密码错误导致的登录失败,后台的返回的错误信息是:密码不正确。这会降低暴力破解的难度,不安全。正确的提示信息应该是:用户名或者密码不正确。
  四、接口测试工具Postman
  接口测试的工具很多,百度去官网下载即可这边以Postman为例简单介绍一下:
  界面如下:
  以获取用户列表为例,根据接口文档的信息填写request参数,点击send,查看即可查看返回的JSON数据。如果返回的数据报错了,先检查请求参数是否填写有误,根据报错信息进行修改,服务器错误码可参照error_code。
  PS:这边可以编写断言以便可以跟预期的跟实际的结果进行对比。
  最后记得保存到用例集里。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号