Rest API

什么是接口测试

接口测试又称 API 测试 Application Programming Interface

接口测试是测试系统组件间接口的一种测试。重点关注数据传递。

接口测试一般会用于多系统间交互开发，或者拥有多个子系统的应用系统开发的测试。

为什么要做接口测试

很多系统关联都是基于接口实现，接口测试可以将复杂的系统关联进行简化。

接口的功能比较单一，能够比较好的进行测试覆盖，也相实现对容易自动化持续集成。

接口相对于界面功能，会更底层一些，测试覆盖会更容器。

软件开发生命周期

• 接口测试在单元测试之后，UI测试之前。
• 接口测试可以获得较高的投资回报。

Web Service

Web Service 是一种跨编程语言和跨操作系统平台的远程调用技术。

最主要的两种实现方式： SOAP & REST

Web 2.0 时代，REST 方法被广泛普及。

SOAP & REST

SOAP

交换数据的一种协议规范，是一种轻量级、简单的、基于XML的协议。

REST

一种软件架构风格，可以降低开发的复杂性，提高系统的可伸缩性。

区别

• 安全性： SOAP 好于 REST
• 效率和易用性： REST 更胜一筹
• 成熟度： 总的来说 SOAP 在成熟度上优于 REST

REST 和 RESTFUL

区别

• RESTful 是 REST 的形容词形式
• RESTful API 指的是 REST 风格的接口

一般来说 REST 等于 RESTful,区别一个是名词，一个是形容词。

REST API

REST 最早是由 Roy Fielding 博士发表的论文中提到的。

定义： 简单来说 REST 是一种系统架构设计风格（而非标准），一种分布式系统的应用层解决方案。

目的： Client 和 Server 端进一步解耦。

应用： 最为经典的是 github API

核心思想： 资源。

REST 支持的方法（CRUD）

Verd	描述
HEAD（select）	只获取某个资源的头部信息
GET（select）	获取资源
POST（create）	创建资源
PATCH（update）	更新资源的部分属性（很少用，一般用POST代替）
PUT（update）	更新资源，客户端需要提供新建资源的所有属性
DELETE（delete）	删除资源

幂等性（Idempotent）： 是一个数学上的概念，在这里表示一次和多次请求引起的边界效果应该是一致的。 Post 是不幂等方法。

安全性： GET、HEAD 和 OPTIOND 均被认为是安全的r方法，因为它们旨在实现对数据的获取，并不具有“边界效应（Side Effect）

REST API 设计规范

• 协议： 使用 HTTPs 协议，确保交互数据的传输安全。

• 域名： 应该尽量将 API 部署在专用域名之下。
  （例：https：//api.example.com）

• 版本控制； 将版本号放在 URL 或者 Header 中
• 路径：只能包含动词，不能包含名词
• 过滤信息：
  • ?limit=10：指定返回记录的数量
  • ?offset=10：指定返回记录的开始位置。
  • ?page=2&per_page=100：指定第几页，以及每页的记录数。
  • ?sortby=name&order=asc：指定返回结果按照哪个属性排序，以及排序顺序。
  • ?animal_type_id=1：指定筛选条件
    参数的设计允许存在冗余，即允许API路径和URL参数偶尔有重复。比如，GET /zoo/ID/animals 与 GET /animals?zoo_id=ID 的含义是相同的。
• 验证（Authentication）： 确定用户是其申明的身份，比如提供账号和密码。

• 授权（Authorization）： 保证用户有对请求资源特定的权限。比如用户的私人信息只能自己访问，其他人无法看到；有些特殊的操作只能管理员来操作，其他用户有只读权限等。

常见的 HTTP status code 状态码：

• 200 OK - [GET]：服务器成功返回用户请求的数据，该操作是幂等的（Idempotent）。
• 201 CREATED - [POST/PUT/PATCH]：用户新建或修改数据成功。
• 202 Accepted - [*]：表示一个请求已经进入后台排队（异步任务）
  • 301 资源的 URL 被更新
• 204 NO CONTENT - [DELETE]：用户删除数据成功。
• 400 INVALID REQUEST - [POST/PUT/PATCH]：用户发出的请求有错误，服务器没有进行新建或修改数据的操作，该操作是幂等的。
• 401 Unauthorized - [*]：表示用户没有权限（令牌、用户名、密码错误）。
• 403 Forbidden - [*] 表示用户得到授权（与401错误相对），但是访问是被禁止的。
• 404 NOT FOUND - [*]：用户发出的请求针对的是不存在的记录，服务器没有进行操作，该操作是幂等的。
• 406 Not Acceptable - [GET]：用户请求的格式不可得（比如用户请求JSON格式，但是只有XML格式）。
• 410 Gone -[GET]：用户请求的资源被永久删除，且不会再得到的。
• 422 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时，发生一个验证错误。
• 500 INTERNAL SERVER ERROR - [*]：服务器发生错误，用户将无法判断发出的请求是否成功。

状态码的完全列表参见这里。

错误处理

如果状态码是4xx，就应该向用户返回出错信息。一般来说，返回的信息中将error作为键名，出错信息作为键值即可。

{error: "Invalid API key"
}

返回结果

• GET /collection：返回资源对象的列表（数组）
• GET /collection/resource：返回单个资源对象
• POST /collection：返回新生成的资源对象
• PUT /collection/resource：返回完整的资源对象
• PATCH /collection/resource：返回完整的资源对象
• DELETE /collection/resource：返回一个空文档

接口测试

手动测试

测试方法：

• 借助工具完成
• 拼接参数执行请求

自动化测试

测试方法：

• 编写自动化脚本实现
• 可以加入回归测试并持续集成

测试工具

• Postman
• JMeter
• RestClient

功能测试

测试范围：

• 业务流程
• 边界值，特殊符号
• 参数类型，必选项，可选项等

性能测试

测试覆盖：

• 并发数
• 吞吐量、tps

安全性测试

测试覆盖

• 敏感数据加密
• 恶意攻击

测试步骤

1. 了解接口格式
2. 编写测试用例
3. 测试用例评审
4. 开始测试
5. 完成测试报告