01_接口测试介绍

转：http://www.javashuo.com/article/p-amqobqag-t.html 和 http://www.javashuo.com/article/p-fisydxvb-br.html

 

首先，什么是接口呢？

接口通常来讲有两种，一种是程序内部的接口，一种是系统对外的接口。
系统对外的接口：好比你要从别的网站或服务器上获取资源或信息，别人确定不会把数据库共享给你，他只能给你提供一个他们写好的方法来获取数据，你引用他提供的接口就能使用他写好的方法，从而达到数据共享的目的，好比说我们用的app、网址这些它在进行数据处理的时候都是经过接口来进行调用的。
程序内部的接口：方法与方法之间，模块与模块之间的交互，程序内部抛出的接口，好比bbs系统，有登陆模块、发帖模块等等，那你要发帖就必须先登陆，要发帖就得登陆，那么这两个模块就得有交互，它就会抛出一个接口，供内部系统进行调用。

1、常见接口：

一、webService接口：是走soap协议经过http传输，请求报文和返回报文都是xml格式的，咱们在测试的时候都用经过工具才能进行调用，测试。可使用的工具备SoapUI、jmeter、loadrunner等；

二、http api接口：是走http协议，经过路径来区分调用的方法，请求报文都是key-value形式的，返回报文通常都是json串，有get和post等方法，这也是最经常使用的两种请求方式。可使用的工具备postman、RESTClient、jmeter、loadrunner等；

2、前端和后端：

 在说接口测试以前，咱们先来搞清楚这两个概念，前端和后端。
      前端是什么呢，对于web端来讲，我们使用的网页，打开的网站，这都是前端，这些都是html、css写的；对于app端来讲呢，它就是我们用的app，android或者object-C（开发ios上的app）开发的，前端它的做用就是显示页面，让咱们看到漂亮的页面，以及作一些简单的校验，好比说非空校验，我们在页面上操做的时候，这些业务逻辑、功能，好比说你购物，发微博这些功能是由后端来实现的，后端去控制你购物的时候扣你的余额，发微博发到哪一个帐号下面，那前端和后端是怎么交互的呢，就是经过接口。
      前面说的你可能很差理解，你只需记住：前端负责貌美如花，后端负责挣钱养家。

3、什么是接口测试：

接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等。

OK，上面是百度百科上说的，下面才是我说的

其实我以为接口测试很简单，比通常的功能测试还简单（这话我先这样说，之后可能会删O(∩_∩)O哈！），如今找工做好多公司都要求有接口测试经验，也有好多人问我（也就两三我的）什么是接口测试，本着不懂也要装懂的态度，我会说：所谓接口测试就是经过测试不一样状况下的入参与之相应的出参信息来判断接口是否符合或知足相应的功能性、安全性要求。

不一样的URL控制不一样的参数，不一样的参数控制后端不一样的功能，URL组成一个接口。

我为啥说接口测试比功能测试简单呢，由于功能测试是从页面输入值，而后经过点击按钮或连接等传值给后端，并且功能测试还要测UI、前端交互等功能，但接口测试没有页面，它是经过接口规范文档上的调用地址、请求参数，拼接报文，而后发送请求，检查返回结果，因此它只需测入参和出参就好了，相对来讲简单了很多。

4、接口组成

4.1 接口都有那些部分组成呢？

一个URL就是一个接口：接口大体会分为一下几个部分：

 

 

 

1. 请求协议：

   • http — 普通的http请求
   • https — 加密的http请求，传输数据更加安全
   • ftp — 文件传输协议，主要用来传输文件

2. 请求IP：就是指提供接口的系统所部署的服务器地址

3. 请求端口：若是不填端口，默认是80，不然须要填写端口号

4. 接口路径：指系统提供的接口在什么位置

5. 接口参数：参数在接口路径后，用“?”来表示路径地址完了，剩下的都是参数了，用“&”来区分参数个数，

6. http请求方式

GET --- 经过请求URI获得资源
POST --- 用于添加新的内容
PUT --- 用于修改某个内容
DELETE --- 删除某个内容
CONNECT --- 用于代理进行传输，如使用SSL
OPTIONS --- 询问能够执行哪些方法
PATCH --- 部分文档更改
PROPFIND (wedav) --- 查看属性
PROPPATCH (wedav) --- 设置属性
MKCOL (wedav) --- 建立集合（文件夹）
COPY (wedav) --- 拷贝
MOVE (wedav) --- 移动
LOCK (wedav) --- 加锁
UNLOCK (wedav) --- 解锁
TRACE --- 用于远程诊断服务器
HEAD --- 相似于GET, 可是不返回body信息，用于检查对象是否存在，以及获得对象的元数据

      7.http请求头

   请求头包含许多有关的客户端环境和请求正文的有用信息。例如，请求头能够声明浏览器所用的语言，请求正文的长度。示例：

Accept:image/gif.image/jpeg./ Accept-Language:zh-cn Connection:Keep-Alive Host:localhost User-Agent:Mozila/4.0(compatible:MSIE5.01:Windows NT5.0) Accept-Encoding:gzip,deflate.

      8.http请求体（请求正文）

    能够有不少种请求体。

　　json格式

　　xml格式

　　html格式

　　二进制格式( 多数用于图片 )

　　字符串格式

请求体格式介绍：

互联网本质是数据传输，数据传输须要数据载体，

好比:页面信息就是存储在html这种数据载体中。HTML格式：

　

xml格式:，能够自定义标签：

JSON语法描述性不及标签语言，因此部分场景还需使用html和xml，若是传递是少许数据的话，可以使用JSON：

 JSON语法：其中对象里面可有数组，数组里面也可有对象，

 

 

4.2 接口文档应该包含如下内容：

一、接口说明
二、调用url
三、请求方法（get\post）
四、请求参数、参数类型、请求参数说明
五、返回参数说明

由接口文档可知，接口至少应有请求地址、请求方法、请求参数（入参和出参）组成，部分接口有请求头header。

标头 (header)：是服务器以HTTP协议传HTML资料到浏览器前所送出的字串，在标头与 HTML 文件之间尚需空一行分隔，通常存放cookie、token等校验信息。

服务器是先接受header中的校验信息如cookie，进行判断该请求是否有权限请求，判断有权限后，才会接受请求地址和入参的。

 

 4.4 复杂一点的接口，RESTful

以上的接口是传参，还有一种经过请求方法不一样的形成较复杂的接口

一个用户接口能够经过如下4种不一样方式的请求，来作不一样的事情：

1. 获取用户信息
2. 建立用户
3. 修改用户
4. 删除用户

这时，咱们须要一种规则，咱们称它为“RESTful”标准：

1. 当用“GET”方式时，只用来获取数据，成功了返回http状态码200。数据提交方式，方式1: URL?键=值&键=值  即{键:值,键:值}
2. 当用“POST”方式时，只用来建立数据，成功了返回http状态码201。多个数据提交方式：方式1: URL?键=值&键=值  即{键:值,键:值}     方式2:JSON格式 （可读性较好）。响应的内容指添加的记录 
3. 当用“PUT”方式时，只用来修改数据，成功了返回http状态码203。多个数据提交方式：方式1: URL?键=值&键=值  即{键:值,键:值}     方式2:JSON格式 （可读性较好）。
4. 当用“DELETE”方式时，只用来删除数据，成功了返回http状态码204。数据提交方式，方式1: URL?键=值&键=值  即{键:值,键:值}
5. 当请求发送失败，返回http状态码400

 

5、为何要作接口测试：

你们都知道，接口其实就是前端页面或APP等调用与后端作交互用的，因此好多人都会问，我功能测试都测好了，为何还要测接口呢？OK，在回答这个问题以前，先举个栗子：

好比测试用户注册功能，规定用户名为6~18个字符，包含字母（区分大小写）、数字、下划线。首先功能测试时确定会对用户名规则进行测试时，好比输入20个字符、输入特殊字符等，但这些可能只是在前端作了校验，后端可能没作校验，若是有人经过抓包绕过前端校验直接发送到后端怎么办呢？试想一下，若是用户名和密码未在后端作校验，而有人又绕过前端校验的话，那用户名和密码不就能够随便输了吗？若是是登陆可能会经过SQL注入等手段来随意登陆，甚至能够获取管理员权限，那这样不是很恐怖？

因此，接口测试的必要性就体现出来了：

①、能够发现不少在页面上操做发现不了的bug

②、检查系统的异常处理能力

③、检查系统的安全性、稳定性

④、前端随便变，接口测好了，后端不用变

6、接口测试怎么测：

在进行接口测试前，还须要了解：

1）、GET和POST请求：
    若是是get请求的话，直接在浏览器里输入就好了，只要在浏览器里面直接能请求到的，都是get请求，若是是post的请求的话，就不行了，就得借助工具来发送。
GET请求和POST请求的区别：
    一、GET使用URL或Cookie传参。而POST将数据放在BODY中。
    二、GET的URL会有长度上的限制，则POST的数据则能够很是大。
    三、POST比GET安全，由于数据在地址栏上不可见。
    四、通常get请求用来获取数据，post请求用来发送数据。
其实上面这几点，只有最后一点说的是比较靠谱的，第一点post请求也能够把数据放到url里面，get请求其实也没长度限制，post请求看起来参数是隐式的，稍微安全那么一些些，可是那只是对于小白用户来讲的，就算post请求，你经过抓包也是能够抓到参数的。因此上面这些面试的时候你说出来就好了。

2）、http状态码

每发出一个http请求以后，都会有一个响应，http自己会有一个状态码，来标示这个请求是否成功，常见的状态码有如下几种：
一、200 2开头的都表示这个请求发送成功，最多见的就是200，就表明这个请求是ok的，服务器也返回了。
二、300 3开头的表明重定向，最多见的是302，把这个请求重定向到别的地方了，
三、400 400表明客户端发送的请求有语法错误，401表明访问的页面没有受权，403表示没有权限访问这个页面，404表明没有这个页面
四、500 5开头的表明服务器有异常，500表明服务器内部异常，504表明服务器端超时，没返回结果

接下来再说接口测试怎么测：

1）、通用接口用例设计

①、经过性验证：首先确定要保证这个接口功能是好使的，也就是正常的经过性测试，按照接口文档上的参数，正常传入，是否能够返回正确的结果。
②、参数组合：如今有一个操做商品的接口，有个字段type，传1的时候表明修改商品，商品id、商品名称、价格有一个是必传的，type传2的时候是删除商品，商品id　　是必传的，这样的，就要测参数组合了，type传1的时候，只传商品名称能不能修改为功，id、名称、价格都传的时候能不能修改为功。

③、接口安全：
     一、绕过验证，好比说购买了一个商品，它的价格是300元，那我在提交订单时候，我把这个商品的价格改为3元，后端有没有作验证，更狠点，我把钱改为-3，是否是个人余额还要增长？
     二、绕过身份受权，好比说修改商品信息接口，那必须得是卖家才能修改，那我传一个普通用户，能不能修改为功，我传一个其余的卖家能不能修改为功
     三、参数是否加密，好比说我登录的接口，用户名和密码是否是加密，若是不加密的话，别人拦截到你的请求，就能获取到你的信息了，加密规则是否容易破解。
     四、密码安全规则，密码的复杂程度校验

④、异常验证：
　　所谓异常验证，也就是我不按照你接口文档上的要求输入参数，来验证接口对异常状况的校验。好比说必填的参数不填，输入整数类型的，传入字符串类型，长度是10的，传11，总之就是你说怎么来，我就不怎么来，其实也就这三种，必传非必传、参数类型、入参长度。

五、性能测试
接口并发状况，如上面提到的：一个帐号，同时（大于2个请求）对最后一个商品下单，或不一样帐号，对最后一个商品下单
接口响应时间，响应时间太长了，确定须要优化，通常都是毫秒级别

2）、根据业务逻辑来设计用例
　　根据业务逻辑来设计的话，就是根据本身系统的业务来设计用例，这个每一个公司的业务不同，就得具体的看本身公司的业务了，其实这也和功能测试设计用例是同样的。
    　　举个例子，拿bbs来讲，bbs的需求是这样的：
  　　  一、登陆失败5次，就须要等待15分钟以后再登陆
  　　  二、新注册的用户须要过了实习期才能发帖
   　　 三、删除帖子扣除积分
   　　 四、......
   　　像这样的你就要把这些测试点列出来，而后再去造数据测试对应的测试点。

 

 

 七、用什么工具测

　　接口测试的工具不少，好比 postman、RESTClient、jmeter、loadrunner、SoapUI等，

　　HTTP/SOAP协议接口的功能测试：（转自：http://www.javashuo.com/article/p-dwuwjrcv-cs.html）

　　一、浏览器URL（GET请求） http://127.0.0.1:8000/login/?username=zhangsan&password=123456

　　二、浏览器插件：Poster、Postman 简单的接口测试。

　　三、独立的接口工具： Jmeter(支持SOAP)、 robot framework(RequestsLibrary) 、soapUI（SOAP协议）

　　四、写代码（接口测试框架）：urllib、urllib二、requests(urllib3) + unittest + HTMLTestRunner + PyMySQL。

 

　　HTTP协议接口的性能测试：

　　一、接口性能测试工具：LoadRunner、Jmeter、soapUI 

　　二、写代码：requests + threading ---> （能够测试加密的接口）

 

 

1）、Postman是谷歌的一款接口测试插件，它使用简单，支持用例管理，支持get、post、文件上传、响应验证、变量管理、环境参数管理等功能，能够批量运行，并支持用例导出、导入。

jmeter是一款100%纯Java编写的免费开源的工具，它主要用来作性能测试，相比loadrunner来讲，它内存占用小，免费开源，轻巧方便、无需安装，愈来愈被大众所喜好。