Rest API

什么是接口测试

接口测试又称 API 测试 Application Programming Interface

接口测试是测试系统组件间接口的一种测试。重点关注数据传递。

接口测试一般会用于多系统间交互开发，或者拥有多个子系统的应用系统开发的测试。

为什么要做接口测试

很多系统关联都是基于接口实现，接口测试可以将复杂的系统关联进行简化。

接口的功能比较单一，能够比较好的进行测试覆盖，也相实现对容易自动化持续集成。

接口相对于界面功能，会更底层一些，测试覆盖会更容器。

软件开发生命周期

接口测试在单元测试之后，UI测试之前。
接口测试可以获得较高的投资回报。

Web Service

Web Service 是一种跨编程语言和跨操作系统平台的远程调用技术。

最主要的两种实现方式： SOAP & REST

Web 2.0 时代，REST 方法被广泛普及。

SOAP & REST

SOAP

交换数据的一种协议规范，是一种轻量级、简单的、基于XML的协议。

REST

一种软件架构风格，可以降低开发的复杂性，提高系统的可伸缩性。

区别

安全性： SOAP 好于 REST
效率和易用性： REST 更胜一筹
成熟度：总的来说 SOAP 在成熟度上优于 REST

REST 和 RESTFUL

区别

RESTful 是 REST 的形容词形式
RESTful API 指的是 REST 风格的接口

一般来说 REST 等于 RESTful,区别一个是名词，一个是形容词。

REST API

REST 最早是由 Roy Fielding 博士发表的论文中提到的。

定义：简单来说 REST 是一种系统架构设计风格（而非标准），一种分布式系统的应用层解决方案。

目的： Client 和 Server 端进一步解耦。

应用：最为经典的是 github API

核心思想：资源。

REST 支持的方法（CRUD）

Verd	描述
HEAD（select）	只获取某个资源的头部信息
GET（select）	获取资源
POST（create）	创建资源
PATCH（update）	更新资源的部分属性（很少用，一般用POST代替）
PUT（update）	更新资源，客户端需要提供新建资源的所有属性
DELETE（delete）	删除资源

幂等性（Idempotent）：是一个数学上的概念，在这里表示一次和多次请求引起的边界效果应该是一致的。 Post 是不幂等方法。

安全性： GET、HEAD 和 OPTIOND 均被认为是安全的r方法，因为它们旨在实现对数据的获取，并不具有“边界效应（Side Effect）

REST API 设计规范

协议：使用 HTTPs 协议，确保交互数据的传输安全。
域名：应该尽量将 API 部署在专用域名之下。
（例：https：//api.example.com）
版本控制；将版本号放在 URL 或者 Header 中
路径：只能包含动词，不能包含名词
过滤信息：
- ?limit=10：指定返回记录的数量
- ?offset=10：指定返回记录的开始位置。
- ?page=2&per_page=100：指定第几页，以及每页的记录数。
- ?sortby=name&order=asc：指定返回结果按照哪个属性排序，以及排序顺序。
- ?animal_type_id=1：指定筛选条件
  参数的设计允许存在冗余，即允许API路径和URL参数偶尔有重复。比如，GET /zoo/ID/animals 与 GET /animals?zoo_id=ID 的含义是相同的。
验证（Authentication）：确定用户是其申明的身份，比如提供账号和密码。
授权（Authorization）：保证用户有对请求资源特定的权限。比如用户的私人信息只能自己访问，其他人无法看到；有些特殊的操作只能管理员来操作，其他用户有只读权限等。

常见的 HTTP status code 状态码：

200 OK - [GET]：服务器成功返回用户请求的数据，该操作是幂等的（Idempotent）。
201 CREATED - [POST/PUT/PATCH]：用户新建或修改数据成功。
202 Accepted - [*]：表示一个请求已经进入后台排队（异步任务）
- 301 资源的 URL 被更新
204 NO CONTENT - [DELETE]：用户删除数据成功。
400 INVALID REQUEST - [POST/PUT/PATCH]：用户发出的请求有错误，服务器没有进行新建或修改数据的操作，该操作是幂等的。
401 Unauthorized - [*]：表示用户没有权限（令牌、用户名、密码错误）。
403 Forbidden - [*] 表示用户得到授权（与401错误相对），但是访问是被禁止的。
404 NOT FOUND - [*]：用户发出的请求针对的是不存在的记录，服务器没有进行操作，该操作是幂等的。
406 Not Acceptable - [GET]：用户请求的格式不可得（比如用户请求JSON格式，但是只有XML格式）。
410 Gone -[GET]：用户请求的资源被永久删除，且不会再得到的。
422 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时，发生一个验证错误。
500 INTERNAL SERVER ERROR - [*]：服务器发生错误，用户将无法判断发出的请求是否成功。

状态码的完全列表参见这里。

错误处理

如果状态码是4xx，就应该向用户返回出错信息。一般来说，返回的信息中将error作为键名，出错信息作为键值即可。

{
    error: "Invalid API key"
}

返回结果

GET /collection：返回资源对象的列表（数组）
GET /collection/resource：返回单个资源对象
POST /collection：返回新生成的资源对象
PUT /collection/resource：返回完整的资源对象
PATCH /collection/resource：返回完整的资源对象
DELETE /collection/resource：返回一个空文档

接口测试

手动测试

测试方法：

借助工具完成
拼接参数执行请求

自动化测试

测试方法：

编写自动化脚本实现
可以加入回归测试并持续集成

测试工具

Postman
JMeter
RestClient

功能测试

测试范围：

业务流程
边界值，特殊符号
参数类型，必选项，可选项等

性能测试

测试覆盖：

并发数
吞吐量、tps

安全性测试

测试覆盖

敏感数据加密
恶意攻击

测试步骤

了解接口格式
编写测试用例
测试用例评审
开始测试
完成测试报告