接口測(cè)試和常用接口測(cè)試工具介紹

首先，什么是接口呢？

接口一般來說有兩種，一種是程序內(nèi)部的接口，一種是系統(tǒng)對(duì)外的接口。

? ? ? ?系統(tǒng)對(duì)外的接口：比如你要從別的網(wǎng)站或服務(wù)器上獲取資源或信息，別人肯定不會(huì)把數(shù)據(jù)庫共享給你，他只能給你提供一個(gè)他們寫好的方法來獲取數(shù)據(jù)，你引用他提供的接口就能使用他寫好的方法，從而達(dá)到數(shù)據(jù)共享的目的，比如說咱們用的app、網(wǎng)址這些它在進(jìn)行數(shù)據(jù)處理的時(shí)候都是通過接口來進(jìn)行調(diào)用的。

? ? ? ?程序內(nèi)部的接口：方法與方法之間，模塊與模塊之間的交互，程序內(nèi)部拋出的接口，比如bbs系統(tǒng)，有登錄模塊、發(fā)帖模塊等等，那你要發(fā)帖就必須先登錄，要發(fā)帖就得登錄，那么這兩個(gè)模塊就得有交互，它就會(huì)拋出一個(gè)接口，供內(nèi)部系統(tǒng)進(jìn)行調(diào)用。

一、常見接口：

1、webService接口：是走soap協(xié)議通過http傳輸，請(qǐng)求報(bào)文和返回報(bào)文都是xml格式的，我們?cè)跍y(cè)試的時(shí)候都用通過工具才能進(jìn)行調(diào)用，測(cè)試?？梢允褂玫墓ぞ哂蠸oapUI、jmeter、loadrunner等；

2、http api接口：是走h(yuǎn)ttp協(xié)議，通過路徑來區(qū)分調(diào)用的方法，請(qǐng)求報(bào)文都是key-value形式的，返回報(bào)文一般都是json串，有g(shù)et和post等方法，這也是最常用的兩種請(qǐng)求方式。可以使用的工具有postman、RESTClient、jmeter、loadrunner等；

二、前端和后端：

在說接口測(cè)試之前，我們先來搞清楚這兩個(gè)概念，前端和后端。

????? 前端是什么呢，對(duì)于web端來說，咱們使用的網(wǎng)頁，打開的網(wǎng)站，這都是前端，這些都是html、css寫的；對(duì)于app端來說呢，它就是咱們用的app，android或者object-C（開發(fā)ios上的app）開發(fā)的，它的作用就是顯示頁面，讓我們看到漂亮的頁面，以及做一些簡(jiǎn)單的校驗(yàn)，比如說非空校驗(yàn)，咱們?cè)陧撁嫔喜僮鞯臅r(shí)候，這些業(yè)務(wù)邏輯、功能，比如說你購物，發(fā)微博這些功能是由后端來實(shí)現(xiàn)的，后端去控制你購物的時(shí)候扣你的余額，發(fā)微博發(fā)到哪個(gè)賬號(hào)下面，那前端和后端是怎么交互的呢，就是通過接口。

????? 前面說的你可能不好理解，你只需記住：前端負(fù)責(zé)貌美如花，后端負(fù)責(zé)掙錢養(yǎng)家。

三、什么是接口測(cè)試：

接口測(cè)試是測(cè)試系統(tǒng)組件間接口的一種測(cè)試。接口測(cè)試主要用于檢測(cè)外部系統(tǒng)與系統(tǒng)之間以及內(nèi)部各個(gè)子系統(tǒng)之間的交互點(diǎn)。測(cè)試的重點(diǎn)是要檢查數(shù)據(jù)的交換，傳遞和控制管理過程，以及系統(tǒng)間的相互邏輯依賴關(guān)系等。

OK，上面是百度百科上說的，下面才是我說的

其實(shí)我覺得接口測(cè)試很簡(jiǎn)單，比一般的功能測(cè)試還簡(jiǎn)單（這話我先這樣說，以后可能會(huì)刪O(∩_∩)O哈?。F(xiàn)在找工作好多公司都要求有接口測(cè)試經(jīng)驗(yàn)，也有好多人問我（也就兩三個(gè)人）什么是接口測(cè)試，本著不懂也要裝懂的態(tài)度，我會(huì)說：所謂接口測(cè)試就是通過測(cè)試不同情況下的入?yún)⑴c之相應(yīng)的出參信息來判斷接口是否符合或滿足相應(yīng)的功能性、安全性要求。

我為啥說接口測(cè)試比功能測(cè)試簡(jiǎn)單呢，因?yàn)楣δ軠y(cè)試是從頁面輸入值，然后通過點(diǎn)擊按鈕或鏈接等傳值給后端，而且功能測(cè)試還要測(cè)UI、前端交互等功能，但接口測(cè)試沒有頁面，它是通過接口規(guī)范文檔上的調(diào)用地址、請(qǐng)求參數(shù)，拼接報(bào)文，然后發(fā)送請(qǐng)求，檢查返回結(jié)果，所以它只需測(cè)入?yún)⒑统鰠⒕托辛?，相?duì)來說簡(jiǎn)單了不少。

四、接口組成

接口都有那些部分組成呢？

首先，接口文檔應(yīng)該包含以下內(nèi)容：

1、接口說明
? ? ? ?2、調(diào)用url
? ? ? ?3、請(qǐng)求方法（getpost）
? ? ? ?4、請(qǐng)求參數(shù)、參數(shù)類型、請(qǐng)求參數(shù)說明
? ? ? ?5、返回參數(shù)說明

由接口文檔可知，接口至少應(yīng)有請(qǐng)求地址、請(qǐng)求方法、請(qǐng)求參數(shù)（入?yún)⒑统鰠ⅲ┙M成，部分接口有請(qǐng)求頭header。

標(biāo)頭 (header)：是服務(wù)器以HTTP協(xié)議傳HTML資料到瀏覽器前所送出的字串，在標(biāo)頭與 HTML 文件之間尚需空一行分隔，一般存放cookie、token等信息

有同學(xué)問我header和入?yún)⒂惺裁搓P(guān)系？它們不都是發(fā)送到服務(wù)器的參數(shù)嗎？

OK，首先，它們確實(shí)都是發(fā)送到服務(wù)器里的參數(shù)，但它們是有區(qū)別的，header里存放的參數(shù)一般存放的是一些校驗(yàn)信息，比如cookie，它是為了校驗(yàn)這個(gè)請(qǐng)求是否有權(quán)限請(qǐng)求服務(wù)器，如果有，它才能請(qǐng)求服務(wù)器，然后把請(qǐng)求地址連同入?yún)⒁黄鸢l(fā)送到服務(wù)器，然后服務(wù)器會(huì)根據(jù)地址和入?yún)矸祷爻鰠?。也就是說，服務(wù)器是先接受header信息進(jìn)行判斷該請(qǐng)求是否有權(quán)限請(qǐng)求，判斷有權(quán)限后，才會(huì)接受請(qǐng)求地址和入?yún)⒌摹?/p>

五、為什么要做接口測(cè)試：

大家都知道，接口其實(shí)就是前端頁面或APP等調(diào)用與后端做交互用的，所以好多人都會(huì)問，我功能測(cè)試都測(cè)好了，為什么還要測(cè)接口呢？OK，在回答這個(gè)問題之前，先舉個(gè)栗子：

比如測(cè)試用戶注冊(cè)功能，規(guī)定用戶名為6~18個(gè)字符，包含字母（區(qū)分大小寫）、數(shù)字、下劃線。首先功能測(cè)試時(shí)肯定會(huì)對(duì)用戶名規(guī)則進(jìn)行測(cè)試時(shí)，比如輸入20個(gè)字符、輸入特殊字符等，但這些可能只是在前端做了校驗(yàn)，后端可能沒做校驗(yàn)，如果有人通過抓包繞過前端校驗(yàn)直接發(fā)送到后端怎么辦呢？試想一下，如果用戶名和密碼未在后端做校驗(yàn)，而有人又繞過前端校驗(yàn)的話，那用戶名和密碼不就可以隨便輸了嗎？如果是登錄可能會(huì)通過SQL注入等手段來隨意登錄，甚至可以獲取管理員權(quán)限，那這樣不是很恐怖？

所以，接口測(cè)試的必要性就體現(xiàn)出來了：

①、可以發(fā)現(xiàn)很多在頁面上操作發(fā)現(xiàn)不了的bug

? ? ? ?②、檢查系統(tǒng)的異常處理能力

? ? ? ?③、檢查系統(tǒng)的安全性、穩(wěn)定性

? ? ? ?④、前端隨便變，接口測(cè)好了，后端不用變

六、接口測(cè)試怎么測(cè)：

在進(jìn)行接口測(cè)試前，還需要了解：

1）、GET和POST請(qǐng)求：

?? ?如果是get請(qǐng)求的話，直接在瀏覽器里輸入就行了，只要在瀏覽器里面直接能請(qǐng)求到的，都是get請(qǐng)求，如果是post的請(qǐng)求的話，就不行了，就得借助工具來發(fā)送。
GET請(qǐng)求和POST請(qǐng)求的區(qū)別：

?? ?1、GET使用URL或Cookie傳參。而POST將數(shù)據(jù)放在BODY中。
?? ?2、GET的URL會(huì)有長(zhǎng)度上的限制，則POST的數(shù)據(jù)則可以非常大。
?? ?3、POST比GET安全，因?yàn)閿?shù)據(jù)在地址欄上不可見。
?? ?4、一般get請(qǐng)求用來獲取數(shù)據(jù)，post請(qǐng)求用來發(fā)送數(shù)據(jù)。

? ? ? ?其實(shí)上面這幾點(diǎn)，只有最后一點(diǎn)說的是比較靠譜的，第一點(diǎn)post請(qǐng)求也可以把數(shù)據(jù)放到url里面，get請(qǐng)求其實(shí)也沒長(zhǎng)度限制，post請(qǐng)求看起來參數(shù)是隱式的，稍微安全那么一些些，但是那只是對(duì)于小白用戶來說的，就算post請(qǐng)求，你通過抓包也是可以抓到參數(shù)的。所以上面這些面試的時(shí)候你說出來就行了。

2）、http狀態(tài)碼

每發(fā)出一個(gè)http請(qǐng)求之后，都會(huì)有一個(gè)響應(yīng)，http本身會(huì)有一個(gè)狀態(tài)碼，來標(biāo)示這個(gè)請(qǐng)求是否成功，常見的狀態(tài)碼有以下幾種：

? ? ? ?1、200 2開頭的都表示這個(gè)請(qǐng)求發(fā)送成功，最常見的就是200，就代表這個(gè)請(qǐng)求是ok的，服務(wù)器也返回了。
? ? ? ?2、300 3開頭的代表重定向，最常見的是302，把這個(gè)請(qǐng)求重定向到別的地方了，
? ? ? ?3、400 400代表客戶端發(fā)送的請(qǐng)求有語法錯(cuò)誤，401代表訪問的頁面沒有授權(quán)，403表示沒有權(quán)限訪問這個(gè)頁面，404代表沒有這個(gè)頁面
? ? ? ?4、500 5開頭的代表服務(wù)器有異常，500代表服務(wù)器內(nèi)部異常，504代表服務(wù)器端超時(shí)，沒返回結(jié)果

接下來再說接口測(cè)試怎么測(cè)：

1）、通用接口用例設(shè)計(jì)

①、通過性驗(yàn)證：首先肯定要保證這個(gè)接口功能是好使的，也就是正常的通過性測(cè)試，按照接口文檔上的參數(shù)，正常傳入，是否可以返回正確的結(jié)果。
②、參數(shù)組合：現(xiàn)在有一個(gè)操作商品的接口，有個(gè)字段type，傳1的時(shí)候代表修改商品，商品id、商品名稱、價(jià)格有一個(gè)是必傳的，type傳2的時(shí)候是刪除商品，商品id　　是必傳的，這樣的，就要測(cè)參數(shù)組合了，type傳1的時(shí)候，只傳商品名稱能不能修改成功，id、名稱、價(jià)格都傳的時(shí)候能不能修改成功。

③、接口安全：

???? 1、繞過驗(yàn)證，比如說購買了一個(gè)商品，它的價(jià)格是300元，那我在提交訂單時(shí)候，我把這個(gè)商品的價(jià)格改成3元，后端有沒有做驗(yàn)證，更狠點(diǎn)，我把錢改成-3，是不是我的余額還要增加？
???? 2、繞過身份授權(quán)，比如說修改商品信息接口，那必須得是賣家才能修改，那我傳一個(gè)普通用戶，能不能修改成功，我傳一個(gè)其他的賣家能不能修改成功
???? 3、參數(shù)是否加密，比如說我登陸的接口，用戶名和密碼是不是加密，如果不加密的話，別人攔截到你的請(qǐng)求，就能獲取到你的信息了，加密規(guī)則是否容易破解。
???? 4、密碼安全規(guī)則，密碼的復(fù)雜程度校驗(yàn)

④、異常驗(yàn)證：

? ? ? ?所謂異常驗(yàn)證，也就是我不按照你接口文檔上的要求輸入?yún)?shù)，來驗(yàn)證接口對(duì)異常情況的校驗(yàn)。比如說必填的參數(shù)不填，輸入整數(shù)類型的，傳入字符串類型，長(zhǎng)度是10的，傳11，總之就是你說怎么來，我就不怎么來，其實(shí)也就這三種，必傳非必傳、參數(shù)類型、入?yún)㈤L(zhǎng)度。

2）、根據(jù)業(yè)務(wù)邏輯來設(shè)計(jì)用例

? ? ? ?根據(jù)業(yè)務(wù)邏輯來設(shè)計(jì)的話，就是根據(jù)自己系統(tǒng)的業(yè)務(wù)來設(shè)計(jì)用例，這個(gè)每個(gè)公司的業(yè)務(wù)不一樣，就得具體的看自己公司的業(yè)務(wù)了，其實(shí)這也和功能測(cè)試設(shè)計(jì)用例是一樣的。
??? 　　
? ? ? ?舉個(gè)例子，拿bbs來說，bbs的需求是這樣的：

??　　 ?1、登錄失敗5次，就需要等待15分鐘之后再登錄
??　　 ?2、新注冊(cè)的用戶需要過了實(shí)習(xí)期才能發(fā)帖
?? 　　?3、刪除帖子扣除積分
?? 　　?4、......
?? 　　像這樣的你就要把這些測(cè)試點(diǎn)列出來，然后再去造數(shù)據(jù)測(cè)試對(duì)應(yīng)的測(cè)試點(diǎn)。

七、用什么工具測(cè)

接口測(cè)試的工具很多，比如?postman、RESTClient、jmeter、loadrunner、SoapUI等，本人首推的測(cè)試工具是postman和jmeter，接下來就簡(jiǎn)單介紹下如何使用這兩款工具進(jìn)行接口測(cè)試，其他工具本次暫不介紹。

1）、Postman是谷歌的一款接口測(cè)試插件，它使用簡(jiǎn)單，支持用例管理，支持get、post、文件上傳、響應(yīng)驗(yàn)證、變量管理、環(huán)境參數(shù)管理等功能，可以批量運(yùn)行，并支持用例導(dǎo)出、導(dǎo)入。

jmeter是一款100%純Java編寫的免費(fèi)開源的工具，它主要用來做性能測(cè)試，相比loadrunner來說，它內(nèi)存占用小，免費(fèi)開源，輕巧方便、無需安裝，越來越被大眾所喜愛。

注：以下用例中所用地址皆為本人在本地所搭的環(huán)境，外網(wǎng)無法訪問，見諒。

①、獲取用戶信息：該接口用于通過userid獲取用戶信息

請(qǐng)求地址：http://192.168.1.102:8081/getuser

請(qǐng)求方式：POST/GET

入?yún)ⅲ?/p>

出參：

postman中請(qǐng)求如下

jmeter中請(qǐng)求如下：

②、獲取用戶信息：需要添加header，Content-Type application/json

1.1??? 請(qǐng)求地址

http://192.168.1.102:8081/getuser2

1.2??? 請(qǐng)求方式

get/post

1.3??? ?入?yún)?/p>

1.4??? ?出參

postman測(cè)試如下，本次入?yún)閖son類型，當(dāng)然文檔中沒說非要用json，用其他方式也是可以的

jmeter測(cè)試如下

③、修改用戶余額2

1.1??? ?功能描述

功能描述：需要添加cookie，token token是寫死的token12345

1.2??? 請(qǐng)求地址

http://192.168.1.102:8081/setmoney2

1.3??? 請(qǐng)求方式

Post

1.4??? 入?yún)?/p>

1.5??? ?出參

postman測(cè)試如下：

jmeter測(cè)試如下：

④文件上傳

postman：

jmeter:

⑤、請(qǐng)求webService接口

請(qǐng)求webService接口需要用到的工具是SoapUI，如下圖

在jmeter里請(qǐng)求如下：?