一、什么是接口测试

1.为什么做接口测试：

接口是连接前后端及移动端的；不同端的工作进度不一样，需要对最开始出来的接口进行接口测试，优点：节约时间，缩短项目时间；提高工作效率；提高系统的健壮性。

前端和后端

   前端是什么呢，对于web端来说，咱们使用的网页，打开的网站，这都是前端，这些都是html、css写的；对于app端来说呢，它就是咱们用的app，android或者object-C（开发ios上的app）开发的，它的作用就是显示页面，让我们看到漂亮的页面，以及做一些简单的校验，比如说非空校验，咱们在页面上操作的时候，这些业务逻辑、功能，比如说你购物，发微博这些功能是由后端来实现的，后端去控制你购物的时候扣你的余额，发微博发到哪个账号下面，那前端和后端是怎么交互的呢，就是通过接口。

      前面说的你可能不好理解，你只需记住：前端负责貌美如花，后端负责挣钱养家。

接口测试必要性

当今的系统复杂度不断上升，传统的测试方法成本急剧增加且测试效率大幅下降，所以就要做接口测试。现在很多系统前后端架构是分离的，从安全层面来说，只依赖前端进行限制已经完全不能满足系统的安全要求（绕过前面实在太容易）， 需要后端同样进行控制，在这种情况下就需要从接口层面进行验证。前后端传输、日志打印等信息是否加密传输也是需要验证的，特别是涉及到用户的隐私信息，如身份证，银行卡等。

比如测试用户注册功能，规定用户名为6~18个字符，包含字母（区分大小写）、数字、下划线。首先功能测试时肯定会对用户名规则进行测试时，比如输入20个字符、输入特殊字符等，但这些可能只是在前端做了校验，后端可能没做校验，如果有人通过抓包绕过前端校验直接发送到后端怎么办呢？试想一下，如果用户名和密码未在后端做校验，而有人又绕过前端校验的话，那用户名和密码不就可以随便输了吗？如果是登录可能会通过SQL注入等手段来随意登录，甚至可以获取管理员权限，那这样不是很恐怖？

所以，接口测试的必要性就体现出来了：

①、可以发现很多在页面上操作发现不了的bug

②、检查系统的异常处理能力

③、检查系统的安全性、稳定性

④、前端随便变，接口测好了，后端不用变

接口测试原理

模拟客户端向服务器发送请求报文，服务器接收请求报文后对相应的报文做处理并向客户端返回应答，客户端再接收应答的一个过程。

接口测试范围

接口的功能、性能、安全性。重点关注数据的交换，传递和控制管理过程，还包括处理的次数。

接口测试对象是接口，但随着系统复杂度越来越高，接口越来越多，完全覆盖是一件很困难的事情。通常情况下主要测试最外层的两类接口：数据进入系统的接口（调用外部系统的参数为本系统使用）、数据流出系统接口（验证系统处理后的数据是否正常）

2、什么是接口测试

接口一般来说有两种，一种是程序内部的接口，一种是系统对外的接口。

系统对外的接口：比如你要从别的网站或服务器上获取资源或信息，别人肯定不会把数据库共享给你，他只能给你提供一个他们写好的方法来获取数据，你引用他提供的接口就能使用他写好的方法，从而达到数据共享的目的，比如说咱们用的app、网址这些它在进行数据处理的时候都是通过接口来进行调用的。

程序内部的接口：方法与方法之间，模块与模块之间的交互，程序内部抛出的接口，比如bbs系统，有登录模块、发帖模块等等，那你要发帖就必须先登录，要发帖就得登录，那么这两个模块就得有交互，它就会抛出一个接口，供内部系统进行调用。

3、接口的分类

restful webservice接口

Soap Webservice接口

1、webService接口：是走soap协议通过http传输，请求报文和返回报文都是xml格式的，我们在测试的时候都用通过工具才能进行调用，测试。可以使用的工具有SoapUI、jmeter、loadrunner等；

2、http api接口：是走http协议，通过路径来区分调用的方法，请求报文都是key-value形式的，返回报文一般都是json串，有get和post等方法，这也是最常用的两种请求方式。可以使用的工具有postman、RESTClient、jmeter、loadrunner等；

4、post与get接口类型差异：

参数提交方式：post请求的数据是放在WebForm里面的，以表单形式提交；get是通过地址栏提交数据的。

请求数据大小：psot大，get小

安全性：post以表单形式提交更安全，get相对不是很安全

二、接口测试

1、请求与状态码

1）GET和POST请求：

如果是get请求的话，直接在浏览器里输入就行了，只要在浏览器里面直接能请求到的，都是get请求，如果是post的请求的话，就不行了，就得借助工具来发送。

GET请求和POST请求的区别：

1、GET使用URL或Cookie传参。而POST将数据放在BODY中。

2、GET的URL会有长度上的限制，则POST的数据则可以非常大。

3、POST比GET安全，因为数据在地址栏上不可见。

4、一般get请求用来获取数据，post请求用来发送数据。

其实上面这几点，只有最后一点说的是比较靠谱的，第一点post请求也可以把数据放到url里面，get请求其实也没长度限制，post请求看起来参数是隐式的，稍微安全那么一些些，但是那只是对于小白用户来说的，就算post请求，你通过抓包也是可以抓到参数的。所以上面这些面试的时候你说出来就行了。

2）http状态码

每发出一个http请求之后，都会有一个响应，http本身会有一个状态码，来标示这个请求是否成功，常见的状态码有以下几种：

1、200 2开头的都表示这个请求发送成功，最常见的就是200，就代表这个请求是ok的，服务器也返回了。

2、300 3开头的代表重定向，最常见的是302，把这个请求重定向到别的地方了，

3、400 400代表客户端发送的请求有语法错误，401代表访问的页面没有授权，403表示没有权限访问这个页面，404代表没有这个页面

4、500 5开头的代表服务器有异常，500代表服务器内部异常，504代表服务器端超时，没返回结果

2、学会看接口文档

接口说明

调用的url

请求方法（get、post）

请求参数，参数类型、请求参数说明

返回参数说明

返回示例

三、接口测试流程

1.接口测试流程

接口测试流程

接口测试流程，测试用例是重点

2.测试用例

编写测试用例目的：

理清思路，避免漏测；

提高测试效率；

跟进测试进度；

测试记录；

跟进重复性工作。

用例设计分为：

1）功能用例设计

 功能是否正常（用postman工具，输入请求参数及相关url后，看是否可以正常发送请求）

功能是否按照接口文档实现（假设接口文档里面有两个参数；要看两个参数是否正确）

2）逻辑业务用例设计

是否依赖业务（假如是支付业务下单时候，要测试用户登录是否正确是否登录）

 3）安全

cookie（没有登录直接调用和下单接口可以下单就是有问题的）

header（如把header信息删除）

唯一识别码

4）异常测试用例设计

参数异常：（关键字参数、参数为空、多或少参数、错误参数）

数据异常（关键字数据、数据为空、长度不一致、错误数据、）

1、通用接口用例设计

①通过性验证：首先肯定要保证这个接口功能是好使的，也就是正常的通过性测试，按照接口文档上的参数，正常传入，是否可以返回正确的结果。

②参数组合：现在有一个操作商品的接口，有个字段type，传1的时候代表修改商品，商品id、商品名称、价格有一个是必传的，type传2的时候是删除商品，商品id　　是必传的，这样的，就要测参数组合了，type传1的时候，只传商品名称能不能修改成功，id、名称、价格都传的时候能不能修改成功。

③接口安全：

     1、绕过验证，比如说购买了一个商品，它的价格是300元，那我在提交订单时候，我把这个商品的价格改成3元，后端有没有做验证，更狠点，我把钱改成-3，是不　　　是我的余额还要增加？

     2、绕过身份授权，比如说修改商品信息接口，那必须得是卖家才能修改，那我传一个普通用户，能不能修改成功，我传一个其他的卖家能不能修改成功

     3、参数是否加密，比如说我登陆的接口，用户名和密码是不是加密，如果不加密的话，别人拦截到你的请求，就能获取到你的信息了，加密规则是否容易破解。

     4、密码安全规则，密码的复杂程度校验

④异常验证：

　　所谓异常验证，也就是我不按照你接口文档上的要求输入参数，来验证接口对异常情况的校验。比如说必填的参数不填，输入整数类型的，传入字符串类型，长度　　是10的，传11，总之就是你说怎么来，我就不怎么来，其实也就这三种，必传非必传、参数类型、入参长度。

2、根据业务逻辑来设计用例

　　根据业务逻辑来设计的话，就是根据自己系统的业务来设计用例，这个每个公司的业务不一样，就得具体的看自己公司的业务了，其实这也和功能测试设计用例是　　一样的。

    　　举个例子，拿bbs来说，bbs的需求是这样的：

  　　  1、登录失败5次，就需要等待15分钟之后再登录

  　　  2、新注册的用户需要过了实习期才能发帖

   　　 3、删除帖子扣除积分

   　　 4、......

   　　像这样的你就要把这些测试点列出来，然后再去造数据测试对应的测试点。