Testerhome社区爱好者合力编写了《2021接口测试白皮书》,并于今年2月底发布。本文节选自其中的的「安全测试」章节。点击链接可下载完整版《2021接口测试白皮书》。
01 前端交互测试
前端页面与后端代码之间的交互测试,可以理解为接口功能测试的一个子集。
测试准备
在进行交互测试前,首先要对前端功能有明确的认知,能够明确区分:
- 什么功能属于前端页面逻辑功能
- 什么功能又属于前端与后端交互功能
- 前端功能与后端是通过什么接口方式进行交互
- 前、后端,双方有什么样约束
在这里提到了约束这个概念,在实际项目研发过程中,功能测试阶段所产生 的 bug,有很大一方面是由于前、后端沟通不彻底,需求确认模糊导致。在进入研发前,双方将各自 后续由于 bug 导致的反工工作量。
测试方法
可以使用抓包工具来进行交互层面测试,查看每个交互功能,对应的接口是否正确 (包含请求头、请求参数、响应以及其他约束项),确保前端按照后端的要求正确地进行了调用。
在交互过程中,针对一个接口也会有多个场景,前端会根据不同的入参来调 用不同的场景,根据不同响应结果, 进行响应数据的改写,来获得不同响应,验证不同响应下前端的展示效果。在这里我们也可以使用一些 不同场景的交互测试。
推荐 Mock 工具:
- moco 框架:https://github.com/dreamhead/...
- easy-mock: https://github.com/easy
- Metersphere 一站式测试平台上也可以定义
02 后端逻辑测试
接口后端逻辑测试依然遵循“输入—处理—输出”这样的模式。用户输入一串数据,然后让这个接口或者让这个后台功能来处理,检查输出结果跟期望是否一 致。
接口测试用例设计应该满足需求文档,且对异常场景进行友好处理;且测试 这个接口是否安装接口文档进行开发
测试用例设计思路
- 从输入参数进行考虑设计
1)优先级-针对所有接口
1、暴露给其他系统、第三方调用的接口
2、系统内部调用的核心功能接口
3、系统内部调用的非核心功能接口
2)优先级-针对单个接口
1、正向测试用例优先,逆向测试用例次之(通常情况下是这样);
2、是否需要满足前提条件 > 是否携带默认值参数 > 参数是否必填 > 参数之间是否存在关联 > 参数数据类型限制校验 > 参数数据类型自身的数据范围值 限制校验。
3)设计分析
从接口测试后端业务逻辑来讲,设计接口测试用例需要考虑以下几方面:
1、是否满足前提条件 有的接口需要首先满足一定条件,才可成功获取数据。最常见的就是需 要用户登录信息的接口(用户 token) 逆向用例:设计不满足前置条件的用例。
2、是否携带默认值参数 正向测试用例:存在默认值的参数都不填写、不传参,必填参数都填写正确并且存在正 确的常规值,这方面考虑设计测试用例。
3、业务逻辑、功能需求 这个环节需要根据具体的业务需求,结果接口定义文档,可设计出多条 正向用例和逆向用例。
4、参数是否必填 针对每个必填参数,设计一条或多条参数值为空的逆向测试用例。
5、参数之间是否存在关联 可根据参数之间的相互关联关系设计一条或多条用例。
6、参数数据类型限制 针对每个参数类型设计与定义的类型不符的逆向测试用例。
7、参数自身的数据范围值限制校验 针对所有参数,设计每个参数在数据范围内为最大或者最小的正向测试用例; 针对所有参数,设计一条或者多条参数值超过或者小于数据范围的逆向 测试用例;
总结一下,如果以上几个方面考虑全面的话,基本可覆盖以下三点:
a、主流程测试用例:正常的主流程业务需求校验
b、分支流程测试用例:正常的分支流程需求校验
c、异常流程测试用例:异常业务场景的容错校验
- 从输出参数进行考虑设计
1、输出结构是否与接口文档定义的一致
2、输出的各个字段类型是否与接口文档定义的一致
3、输出的各个字段的值是否符合逻辑且值正确
测试环境
进行接口测试之前首先需要与开发确认好测试环境,通常情况下,需要在三 个环境进行测试:测试环境、准生产环境及生产环境。
为了方便快捷切换接口测试环境的 host 指向,我们可借助以下工具进行切 换:SwitchHosts、Nohost、postman 等。
测试方式
- 手工测试
手工测试就是借助浏览器或者部分测试工具(postman、Jmeter 等)手动执 行测试用例的过程。针对新开发接口建议首先进行全面的手工测试后再将部分可 重复执行用例加入自动化测试。
- 自动化测试
接口测试相对容易实现自动化,且相对 UI 自动化也比较稳定,可以减少人 工回归测试人力成本与时间,缩短测试周期,是支持后端快速发版需求,达到低 成本高收益的根源。
接口自动化测试同样需要有需求分析、用例设计,依据用例设计使用 python 或者 java 等语言结合框架,编写自动化测试脚本,实现接口自动化测试、自动 执行及自动发送测试报告等环节。
一个好的接口自动化测试框架应该涵盖以下几点:
a) 流程方面:在回归阶段加强接口各种场景的覆盖度,并逐步向系统测试, 冒烟测试阶段延伸,最终达到全流程自动化。
b) 结果展示:更加丰富的结果展示、趋势分析,质量统计和分析等。
c) 问题定位:报错信息、日志更精准,方便问题复现与定位。
d) 结果校验:加强自动化校验能力,如数据库信息校验。
其他关注点
以下这部分测试同业务逻辑测试同等重要,甚至从某种意义上讲,比业务逻 辑测试更加重要,测试过程中不容忽视。
▼ 接口测试系列
接口测试系列之——接口安全测试
接口性能测试方案分析
今日份的知识已摄入~
想了解更多前沿测试开发技术:欢迎关注「第十届MTSC大会·上海」>>>
1个主会场+12大专场,大咖云集精英齐聚
12个专场包括:
知乎、OpenHarmony、开源、游戏、酷家乐、音视频
客户端、服务端、数字经济、效能提升、质量保障、智能化测试