一、常見接口
1、webService接口:是走soap協議通過http傳輸,請求報文和返回報文都是xml格式的,我們在測試的時候都用通過工具才能進行調用,測試。可以使用的工具有SoapUI、jmeter、loadrunner等;
2、http api接口:是走http協議,通過路徑來區分調用的方法,請求報文都是key-value形式的,返回報文一般都是json串,有get和post等方法,這也是最常用的兩種請求方式。可以使用的工具有postman、RESTClient、jmeter、loadrunner等;
二、接口組成
接口都有那些部分組成呢?
首先,接口文檔應該包含以下內容:
1、接口說明
2、調用url
3、請求方法(get\post)
4、請求參數、參數類型、請求參數說明
5、返回參數說明
由接口文檔可知,接口至少應有請求地址、請求方法、請求參數(入參和出參)組成,部分接口有請求頭header。
標頭 (header):是服務器以HTTP協議傳HTML資料到瀏覽器前所送出的字串,在標頭與 HTML 文件之間尚需空一行分隔,一般存放cookie、token等信息
有同學問我header和入參有什麼關係?它們不都是發送到服務器的參數嗎?
首先,它們確實都是發送到服務器裏的參數,但它們是有區別的,header裏存放的參數一般存放的是一些校驗信息,比如cookie,它是爲了校驗這個請求是否有權限請求服務器,如果有,它才能請求服務器,然後把請求地址連同入參一起發送到服務器,然後服務器會根據地址和入參來返回出參。也就是說,服務器是先接受header信息進行判斷該請求是否有權限請求,判斷有權限後,纔會接受請求地址和入參的。
三、爲什麼要做接口測試
大家都知道,接口其實就是前端頁面或APP等調用與後端做交互用的,所以好多人都會問,我功能測試都測好了,爲什麼還要測接口呢?OK,在回答這個問題之前,先舉個栗子:
比如測試用戶註冊功能,規定用戶名爲6~18個字符,包含字母(區分大小寫)、數字、下劃線。首先功能測試時肯定會對用戶名規則進行測試時,比如輸入20個字符、輸入特殊字符等,但這些可能只是在前端做了校驗,後端可能沒做校驗,如果有人通過抓包繞過前端校驗直接發送到後端怎麼辦呢?試想一下,如果用戶名和密碼未在後端做校驗,而有人又繞過前端校驗的話,那用戶名和密碼不就可以隨便輸了嗎?如果是登錄可能會通過SQL注入等手段來隨意登錄,甚至可以獲取管理員權限,那這樣不是很恐怖?
所以,接口測試的必要性就體現出來了:
①、可以發現很多在頁面上操作發現不了的bug
②、檢查系統的異常處理能力
③、檢查系統的安全性、穩定性
④、前端隨便變,接口測好了,後端不用變
四、接口測試怎麼測
在進行接口測試前,還需要了解:
1)、GET和POST請求:
如果是get請求的話,直接在瀏覽器裏輸入就行了,只要在瀏覽器裏面直接能請求到的,都是get請求,如果是post的請求的話,就不行了,就得藉助工具來發送。
GET請求和POST請求的區別:
1、GET使用URL或Cookie傳參。而POST將數據放在BODY中。
2、GET的URL會有長度上的限制,則POST的數據則可以非常大。
3、POST比GET安全,因爲數據在地址欄上不可見。
4、一般get請求用來獲取數據,post請求用來發送數據。
其實上面這幾點,只有最後一點說的是比較靠譜的,第一點post請求也可以把數據放到url裏面,get請求其實也沒長度限制,post請求看起來參數是隱式的,稍微安全那麼一些些,但是那只是對於小白用戶來說的,就算post請求,你通過抓包也是可以抓到參數的。所以上面這些面試的時候你說出來就行了。
2)、http狀態碼
每發出一個http請求之後,都會有一個響應,http本身會有一個狀態碼,來標示這個請求是否成功,常見的狀態碼有以下幾種:
1、200 2開頭的都表示這個請求發送成功,最常見的就是200,就代表這個請求是ok的,服務器也返回了。
2、300 3開頭的代表重定向,最常見的是302,把這個請求重定向到別的地方了,
3、400 400代表客戶端發送的請求有語法錯誤,401代表訪問的頁面沒有授權,403表示沒有權限訪問這個頁面,404代表沒有這個頁面
4、500 5開頭的代表服務器有異常,500代表服務器內部異常,504代表服務器端超時,沒返回結果