接口測試常用工具及測試方法（新手篇）

首先，什么是接口呢？

接口一般來說有兩種，一種是程序內(nèi)部的接口，一種是系統(tǒng)對外的接口。

系統(tǒng)對外的接口：比如你要從別的網(wǎng)站或服務(wù)器上獲取資源或信息，別人肯定不會把數(shù)據(jù)庫共享給你，他只能給你提供一個他們寫好的方法來獲取數(shù)據(jù)，你引用他提供的接口就能使用他寫好的方法，從而達(dá)到數(shù)據(jù)共享的目的，比如說咱們用的app、網(wǎng)址這些它在進(jìn)行數(shù)據(jù)處理的時候都是通過接口來進(jìn)行調(diào)用的。

程序內(nèi)部的接口：方法與方法之間，模塊與模塊之間的交互，程序內(nèi)部拋出的接口，比如bbs系統(tǒng)，有登錄模塊、發(fā)帖模塊等等，那你要發(fā)帖就必須先登錄，要發(fā)帖就得登錄，那么這兩個模塊就得有交互，它就會拋出一個接口，供內(nèi)部系統(tǒng)進(jìn)行調(diào)用。

一、常見接口：

1、webService接口：是走soap協(xié)議通過http傳輸，請求報文和返回報文都是xml格式的，我們在測試的時候都用通過工具才能進(jìn)行調(diào)用，測試。可以使用的工具有SoapUI、jmeter、loadrunner等；

2、http api接口：是走h(yuǎn)ttp協(xié)議，通過路徑來區(qū)分調(diào)用的方法，請求報文都是key-value形式的，返回報文一般都是json串，有g(shù)et和post等方法，這也是最常用的兩種請求方式。可以使用的工具有postman、RESTClient、jmeter、loadrunner等；

二、前端和后端：

 在說接口測試之前，我們先來搞清楚這兩個概念，前端和后端。

前端是什么呢，對于web端來說，咱們使用的網(wǎng)頁，打開的網(wǎng)站，這都是前端，這些都是html、css寫的；對于app端來說呢，它就是咱們用的app，android或者object-C（開發(fā)ios上的app）開發(fā)的，它的作用就是顯示頁面，讓我們看到漂亮的頁面，以及做一些簡單的校驗，比如說非空校驗，咱們在頁面上操作的時候，這些業(yè)務(wù)邏輯、功能，比如說你購物，發(fā)微博這些功能是由后端來實現(xiàn)的，后端去控制你購物的時候扣你的余額，發(fā)微博發(fā)到哪個賬號下面，那前端和后端是怎么交互的呢，就是通過接口。

前面說的你可能不好理解，你只需記住：前端負(fù)責(zé)貌美如花，后端負(fù)責(zé)掙錢養(yǎng)家。

三、什么是接口測試：

接口測試是測試系統(tǒng)組件間接口的一種測試。接口測試主要用于檢測外部系統(tǒng)與系統(tǒng)之間以及內(nèi)部各個子系統(tǒng)之間的交互點。測試的重點是要檢查數(shù)據(jù)的交換，傳遞和控制管理過程，以及系統(tǒng)間的相互邏輯依賴關(guān)系等。

OK，上面是百度百科上說的，下面才是我說的

其實我覺得接口測試很簡單，比一般的功能測試還簡單（這話我先這樣說，以后可能會刪O(∩_∩)O哈！），現(xiàn)在找工作好多公司都要求有接口測試經(jīng)驗，也有好多人問我（也就兩三個人）什么是接口測試，本著不懂也要裝懂的態(tài)度，我會說：所謂接口測試就是通過測試不同情況下的入?yún)⑴c之相應(yīng)的出參信息來判斷接口是否符合或滿足相應(yīng)的功能性、安全性要求。

我為啥說接口測試比功能測試簡單呢，因為功能測試是從頁面輸入值，然后通過點擊按鈕或鏈接等傳值給后端，而且功能測試還要測UI、前端交互等功能，但接口測試沒有頁面，它是通過接口規(guī)范文檔上的調(diào)用地址、請求參數(shù)，拼接報文，然后發(fā)送請求，檢查返回結(jié)果，所以它只需測入?yún)⒑统鰠⒕托辛耍鄬碚f簡單了不少。

四、接口都有那些部分組成呢？

首先，接口文檔應(yīng)該包含以下內(nèi)容：

1、接口說明
2、調(diào)用url
3、請求方法（get\post）
4、請求參數(shù)、參數(shù)類型、請求參數(shù)說明
5、返回參數(shù)說明

由接口文檔可知，接口至少應(yīng)有請求地址、請求方法、請求參數(shù)（入?yún)⒑统鰠ⅲ┙M成，部分接口有請求頭header。

標(biāo)頭 (header)：是服務(wù)器以HTTP協(xié)議傳HTML資料到瀏覽器前所送出的字串，在標(biāo)頭與 HTML 文件之間尚需空一行分隔，一般存放cookie、token等信息

有同學(xué)問我header和入?yún)⒂惺裁搓P(guān)系？它們不都是發(fā)送到服務(wù)器的參數(shù)嗎？

OK，首先，它們確實都是發(fā)送到服務(wù)器里的參數(shù)，但它們是有區(qū)別的，header里存放的參數(shù)一般存放的是一些校驗信息，比如cookie，它是為了校驗這個請求是否有權(quán)限請求服務(wù)器，如果有，它才能請求服務(wù)器，然后把請求地址連同入?yún)⒁黄鸢l(fā)送到服務(wù)器，然后服務(wù)器會根據(jù)地址和入?yún)矸祷爻鰠ⅰＲ簿褪钦f，服務(wù)器是先接受header信息進(jìn)行判斷該請求是否有權(quán)限請求，判斷有權(quán)限后，才會接受請求地址和入?yún)⒌摹?/span>

五、為什么要做接口測試：

大家都知道，接口其實就是前端頁面或APP等調(diào)用與后端做交互用的，所以好多人都會問，我功能測試都測好了，為什么還要測接口呢？OK，在回答這個問題之前，先舉個栗子：

比如測試用戶注冊功能，規(guī)定用戶名為6~18個字符，包含字母（區(qū)分大小寫）、數(shù)字、下劃線。首先功能測試時肯定會對用戶名規(guī)則進(jìn)行測試時，比如輸入20個字符、輸入特殊字符等，但這些可能只是在前端做了校驗，后端可能沒做校驗，如果有人通過抓包繞過前端校驗直接發(fā)送到后端怎么辦呢？試想一下，如果用戶名和密碼未在后端做校驗，而有人又繞過前端校驗的話，那用戶名和密碼不就可以隨便輸了嗎？如果是登錄可能會通過SQL注入等手段來隨意登錄，甚至可以獲取管理員權(quán)限，那這樣不是很恐怖？

所以，接口測試的必要性就體現(xiàn)出來了：

①、可以發(fā)現(xiàn)很多在頁面上操作發(fā)現(xiàn)不了的bug

②、檢查系統(tǒng)的異常處理能力

③、檢查系統(tǒng)的安全性、穩(wěn)定性

④、前端隨便變，接口測好了，后端不用變

六、接口測試怎么測：

在進(jìn)行接口測試前，還需要了解：

1）、GET和POST請求：
如果是get請求的話，直接在瀏覽器里輸入就行了，只要在瀏覽器里面直接能請求到的，都是get請求，如果是post的請求的話，就不行了，就得借助工具來發(fā)送。
GET請求和POST請求的區(qū)別：

1、GET使用URL或Cookie傳參。而POST將數(shù)據(jù)放在BODY中。
2、GET的URL會有長度上的限制，則POST的數(shù)據(jù)則可以非常大。
3、POST比GET安全，因為數(shù)據(jù)在地址欄上不可見。
4、一般get請求用來獲取數(shù)據(jù)，post請求用來發(fā)送數(shù)據(jù)。

其實上面這幾點，只有最后一點說的是比較靠譜的，第一點post請求也可以把數(shù)據(jù)放到url里面，get請求其實也沒長度限制，post請求看起來參數(shù)是隱式的，稍微安全那么一些些，但是那只是對于小白用戶來說的，就算post請求，你通過抓包也是可以抓到參數(shù)的。所以上面這些面試的時候你說出來就行了。

2）、http狀態(tài)碼

每發(fā)出一個http請求之后，都會有一個響應(yīng)，http本身會有一個狀態(tài)碼，來標(biāo)示這個請求是否成功，常見的狀態(tài)碼有以下幾種：

1、200 2開頭的都表示這個請求發(fā)送成功，最常見的就是200，就代表這個請求是ok的，服務(wù)器也返回了。
2、300 3開頭的代表重定向，最常見的是302，把這個請求重定向到別的地方了，
3、400 400代表客戶端發(fā)送的請求有語法錯誤，401代表訪問的頁面沒有授權(quán)，403表示沒有權(quán)限訪問這個頁面，404代表沒有這個頁面
4、500 5開頭的代表服務(wù)器有異常，500代表服務(wù)器內(nèi)部異常，504代表服務(wù)器端超時，沒返回結(jié)果

接下來再說接口測試怎么測：

1）、通用接口用例設(shè)計

①、通過性驗證：首先肯定要保證這個接口功能是好使的，也就是正常的通過性測試，按照接口文檔上的參數(shù)，正常傳入，是否可以返回正確的結(jié)果。
②、參數(shù)組合：現(xiàn)在有一個操作商品的接口，有個字段type，傳1的時候代表修改商品，商品id、商品名稱、價格有一個是必傳的，type傳2的時候是刪除商品，商品id　　是必傳的，這樣的，就要測參數(shù)組合了，type傳1的時候，只傳商品名稱能不能修改成功，id、名稱、價格都傳的時候能不能修改成功。

③、接口安全：

1、繞過驗證，比如說購買了一個商品，它的價格是300元，那我在提交訂單時候，我把這個商品的價格改成3元，后端有沒有做驗證，更狠點，我把錢改成-3，是不是我的余額還要增加？
2、繞過身份授權(quán)，比如說修改商品信息接口，那必須得是賣家才能修改，那我傳一個普通用戶，能不能修改成功，我傳一個其他的賣家能不能修改成功
3、參數(shù)是否加密，比如說我登陸的接口，用戶名和密碼是不是加密，如果不加密的話，別人攔截到你的請求，就能獲取到你的信息了，加密規(guī)則是否容易破解。
4、密碼安全規(guī)則，密碼的復(fù)雜程度校驗

④、異常驗證：

所謂異常驗證，也就是我不按照你接口文檔上的要求輸入?yún)?shù)，來驗證接口對異常情況的校驗。比如說必填的參數(shù)不填，輸入整數(shù)類型的，傳入字符串類型，長度是10的，傳11，總之就是你說怎么來，我就不怎么來，其實也就這三種，必傳非必傳、參數(shù)類型、入?yún)㈤L度。

2）、根據(jù)業(yè)務(wù)邏輯來設(shè)計用例

根據(jù)業(yè)務(wù)邏輯來設(shè)計的話，就是根據(jù)自己系統(tǒng)的業(yè)務(wù)來設(shè)計用例，這個每個公司的業(yè)務(wù)不一樣，就得具體的看自己公司的業(yè)務(wù)了，其實這也和功能測試設(shè)計用例是一樣的。

舉個例子，拿bbs來說，bbs的需求是這樣的：

1、登錄失敗5次，就需要等待15分鐘之后再登錄
2、新注冊的用戶需要過了實習(xí)期才能發(fā)帖
3、刪除帖子扣除積分
4、......
   　　像這樣的你就要把這些測試點列出來，然后再去造數(shù)據(jù)測試對應(yīng)的測試點。

 七、用什么工具測

接口測試的工具很多，比如 postman、RESTClient、jmeter、loadrunner、SoapUI等，首推的測試工具是postman和jmeter（測試框架的話，可以選擇Robot Framework Pytest等），接下來就簡單介紹下如何使用這兩款工具進(jìn)行接口測試，其他工具本次暫不介紹。

1）、Postman是谷歌的一款接口測試插件，它使用簡單，支持用例管理，支持get、post、文件上傳、響應(yīng)驗證、變量管理、環(huán)境參數(shù)管理等功能，可以批量運(yùn)行，并支持用例導(dǎo)出、導(dǎo)入。

jmeter是一款100%純Java編寫的免費(fèi)開源的工具，它主要用來做性能測試，相比loadrunner來說，它內(nèi)存占用小，免費(fèi)開源，輕巧方便、無需安裝，越來越被大眾所喜愛。

注：以下用例中所用地址皆為本人在本地所搭的環(huán)境，外網(wǎng)無法訪問，見諒。

①、獲取用戶信息：該接口用于通過userid獲取用戶信息

　　請求地址：http://192.168.1.102:8081/getuser

　　請求方式：POST/GET

       入?yún)ⅲ?/span>

 出參：

postman中請求如下

 jmeter中請求如下：

②、獲取用戶信息：需要添加header，Content-Type application/json

1.1    請求地址

http://192.168.1.102:8081/getuser2

1.2    請求方式

get/post

1.3     入?yún)?/span>

 1.4     出參

postman測試如下，本次入?yún)閖son類型，當(dāng)然文檔中沒說非要用json，用其他方式也是可以的

 jmeter測試如下

③、修改用戶余額2

1.1     功能描述

功能描述：需要添加cookie，token token是寫死的token12345

1.2    請求地址

http://192.168.1.102:8081/setmoney2

1.3    請求方式

Post

1.4    入?yún)?/span>

 1.5     出參

postman測試如下：

 jmeter測試如下：

④文件上傳

postman：

jmeter:

⑤、請求webService接口

請求webService接口需要用到的工具是SoapUI，如下圖

在jmeter里請求如下：