==接口测试测试维度==
接口的概念:
接口就是系统或者组件之间的交互点, 通过这些交互点可实现数据的交互
分类:
系统之间的接口: 多个内部系统之间的交互, 内部系统和外部系统之间的交互
程序内部的接口: 方法与方法之间, 模块与模块之间的交互
是对系统或组件之间的接口进行测试,主要是校验数据是否正确、传递和控制管理过程,以及相互逻辑依赖关系
接口测试的原理
模拟客户端向服务器发送请求 ,服务器接受请求之后进行相应的业务处理。 并向客户端返回响应数据,检查响应数据是否符合预期。
-----
主要针对的测试目标: 服务器
**接口测试的特点: **
**接口测试的实现方式: **
协议 : 就是双方都要遵守的规则
**什么是HTTP协议: **
超文本传输协议
, 是一个基于请求和响应模式
的、应用层的协议
,也是互联网应用最广泛的协议
HTTP特点:
**URL: **
定义 :
统一资源定位符,是互联网标准资源的地址。HTTP通常用URL来建立链接和传输数据
-------
格式:
http://www.baidu.com
URL每部分代表的含义及其组成
一个HTTP请求通常由以下几部分组成:
由请求头部中的content-Type决定
请求头部的各个信息:
HTTP请求头包含了客户端向服务器发送的各种元数据,这些元数据描述了请求的特征、客户端的信息以及客户端期望的响应内容。以下是一些常见的HTTP请求头部信息及其解释:
1. Accept:指定客户端能够接收的内容类型,例如:text/html、application/json、image/png等等。
2. (★★★)Accept-Encoding:指定客户端能够接收的内容编码方式,例如:gzip、deflate、br等等。
3. Accept-Language:指定客户端的语言偏好,例如:en-US、zh-CN等等。
4. Cache-Control:指定客户端的缓存策略,例如:max-age、no-cache等等。
5. Connection:指定客户端与服务器的连接类型,例如:keep-alive、close等等。
6. Content-Length:指定请求体的长度。
7. (★★★★★)Content-Type:指定请求体的类型,例如:application/x-www-form-urlencoded、multipart/form-data等等。
8. Host:指定请求的目标主机名和端口号。
9. User-Agent:指定客户端的身份标识,例如:Mozilla/5.0 (Windows NT 10.0; WinHTTP请求头包含了客户端向服务器发送的各种元数据,这些元数据描述了请求的特征、客户端的信息以及客户端期望的响应内容。以下是一些常见的HTTP请求头部信息及其解释:
10. Accept:指定客户端能够接收的内容类型,例如:text/html、application/json、image/png等等。
11. Accept-Encoding:指定客户端能够接收的内容编码方式,例如:gzip、deflate、br等等。
12. Accept-Language:指定客户端的语言偏好,例如:en-US、zh-CN等等。
13. Cache-Control:指定客户端的缓存策略,例如:max-age、no-cache等等。
14. Connection:指定客户端与服务器的连接类型,例如:keep-alive、close等等。
15. Content-Length:指定请求体的长度。
16. Content-Type:指定请求体的类型,例如:application/x-www-form-urlencoded、multipart/form-data等等。
17. Host:指定请求的目标主机名和端口号。
18. User-Agent:指定客户端的身份标识,例如:Mozilla/5.0 (Windows NT 10.0; WinHTTP请求头包含了客户端向服务器发送的各种元数据,这些元数据描述了请求的特征、客户端的信息以及客户端期望的响应内容。以下是一些常见的HTTP请求头部信息及其解释:
19. Accept:指定客户端能够接收的内容类型,例如:text/html、application/json、image/png等等。
20. Accept-Encoding:指定客户端能够接收的内容编码方式,例如:gzip、deflate、br等等。
21. Accept-Language:指定客户端的语言偏好,例如:en-US、zh-CN等等。
22. Cache-Control:指定客户端的缓存策略,例如:max-age、no-cache等等。
23. Connection:指定客户端与服务器的连接类型,例如:keep-alive、close等等。
24. Content-Length:指定请求体的长度。
25. Content-Type:指定请求体的类型,例如:application/x-www-form-urlencoded、multipart/form-data等等。
26. Host:指定请求的目标主机名和端口号。
27. User-Agent:指定客户端的身份标识,例如:Mozilla/5.0 (Windows NT 10.0; Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
打开fiddler , 然后再浏览器中输入请求地址,点击即可。
对于方法的划分不够明确,只是用get and post两种。
对于url不唯一,统一操作对应不同的url
状态码比较单一
1. 需求评审
2. 接口文档分析
3. 设计测试用例
4. 执行测试用例
5. 接口缺陷管理与跟踪
6. 生成测试报告
7. 接口自动化持续集成
通过接口文档我们才能产生接口测试用例
定义:
一般来说是由开发人员所编写的,用来描述系统所提供接口信息的文档。开发人员也是根据接口文档来进行开发, 并需要一直遵守维护
**接口文档的作用: **
1. 能够让开发人员更好的配合, 提高工作效率
2. 项目迭代或者项目人员迭代时, 方便后期人员查看和维护
3. 方便测试人员进行测试
接口文档的结构:
写测试用例的好处:
比如登录接口、注册接口等等...
直接进行单个接口测试
按照实际的用户使用场景,梳理接口业务场景
组织业务场景时, 一般只需要做正向测试即可, 因为在此之前我们已经完成了单接口测试, 此时只需要按照实际的业务场景进行功能连调测试。
- 一般建议用最少的用例测试最多的例子
后期还会有功能性能测试 and 安全测试
本节不作为重点去写
SQL注入的漏洞
测试用例:
为了测试Web应用程序是否受到SQL注入攻击的威胁,您可以使用以下测试用例:
1. 基本SQL注入测试用例:
尝试在输入参数中注入简单的SQL语句,例如:
输入参数:' or 1=1 --
这个输入参数可以将SQL注入到SQL语句中,将查询条件修改为1=1,从而绕过身份验证和访问控制等机制。
2. 注入SELECT语句测试用例:
尝试在输入参数中注入SELECT语句,例如:
输入参数:1; SELECT * FROM users --
这个输入参数可以将两条SQL语句注入到SQL查询中,第一条SQL语句会查询id=1的用户,第二条SQL语句会查询所有用户的信息,从而泄露数据库中所有用户的信息。
3. 注入UPDATE语句测试用例:
尝试在输入参数中注入UPDATE语句,例如:
输入参数:1; UPDATE users SET password='123456' WHERE id=1 --
这个输入参数可以将两条SQL语句注入到SQL查询中,第一条SQL语句会查询id=1的用户,第二条SQL语句会将该用户的密码修改为'123456',从而修改了数据库中的数据。
4. 注入DELETE语句测试用例:
尝试在输入参数中注入DELETE语句,例如:
输入参数:1; DELETE FROM users WHERE id=1 --
这个输入参数可以将两条SQL语句注入到SQL查询中,第一条SQL语句会查询id=1的用户,第二条SQL语句会将该用户从数据库中删除,从而删除了数据库中的数据。
5. 注入UNION语句测试用例:
尝试在输入参数中注入UNION语句,例如:
输入参数:1; UNION SELECT * FROM users --
这个输入参数可以将两条SQL语句注入到SQL查询中,第一条SQL语句会查询id=1的用户,第二条SQL语句会查询所有用户的信息,并将两条查询结果合并到一起,从而泄露数据库中所有用户的信息。
6. 注入子查询语句测试用例:
尝试在输入参数中注入子查询语句,例如:
输入参数:1; SELECT * FROM users WHERE id=(SELECT id FROM users WHERE name='admin') --
这个输入参数可以将两条SQL语句注入到SQL查询中,第一条SQL语句会查询id=1的用户,第二条SQL语句会在users表中查询name为'admin'的用户的id,从而绕过身份验证和访问控制等机制,并获取管理员账户的访问权限。
1. 接口测试主要是测参数对应的参数值是否正确
非1: 手工测试主要是测输入到数据框的数据是否正确
2. 接口测试还可以对参数本身进行测试
#2: 只对数据进行测试
与手工相同之处
编号 | 用例名称 | 模块 | 优先级 | 前置条件 | 请求方法 | URL | 请求头 | 请求体(请求数据) | 预期结果 |
---|---|---|---|---|---|---|---|---|---|
login_1 | 登录成功 | 登录 | p1 | 账号存在 && 密码正确 | POST | {协议 + 域名} /api/sys/login | Content-Type: application/json | {“usernmae”: “leicunwu”,”password”: “leicw”} | 状态码:200 |
使用基本和ApiFox相同
断言实例
解释
1. pm.test() 函数用于定义一个测试用例,该函数接受两个参数:测试用例的名称和一个匿名函数,该匿名函数包含了测试用例的具体实现逻辑。
2. 匿名函数中的 pm.response.to.have.status(200) 语句用于检查 API 响应的状态码是否等于 200。如果状态码不等于 200,则测试用例失败,Postman 将输出测试失败的详细信息;如果状态码等于 200,则测试用例通过,Postman 将输出测试通过的信息。
因此,这段代码的目的是测试 API 响应的状态码是否等于 200,以确保 API 的正常运行。如果 API 返回的状态码不是 200,则测试用例将失败,Postman 将输出测试失败的详细信息。
==断言为JSON格式的数据:==
pm.test("Your test name", function () {
var jsonData = pm.response.json();
pm.expect(jsonData.value).to.eql(100);
});
//解释
- pm.test() 函数用于定义一个测试用例,该函数接受两个参数:测试用例的名称和一个匿名函数,该匿名函数包含了测试用例的具体实现逻辑。
- 匿名函数中的 var jsonData = pm.response.json(); 语句用于将响应数据解析为 JSON 格式,并将其存储在 jsonData 变量中。
- pm.expect(jsonData.value).to.eql(100) 语句用于检查 jsonData 中的 value 属性是否等于 100。如果相等,则测试用例通过,否则测试用例失败。【断言指定的属性的类型不能改变】
如果我们想要测试两个接口, 前一个的输入就是等于后一个的输出, 那么我们就可以用一个全局变量来进行记录。
**全局变量: **
全局变量是全局唯一的变量, 不可重复定义的变量
**环境变量: **
环境变量是
- 一个变量只能属于某个环境, 在某一个环境中不可重复定义
- 在环境与环境之间可以定义重复的变量
- 一个环境可以包含多个环境变量
- 常见环境分类: 开发环境、 测试环境、 生产环境
**基本语法: **
全局变量:
pm.globals.set("var_name", value);
环境变量 :
pm.environment.set("var_name", value);
基本语法:
全局变量: (两种)
1. {{var_name}}
2. var value = pm.globals.get("var_name");
环境变量:(两种)
1. {{var_name}}
2. var value = pm.envirment.get("var_name");
postman断言工作的原理
应用场景:
**请求前置脚本 : **
也就是在请求发送(send)后, 请求前置脚本代码,第一时间被执行,在postman内部实际http请求之前。
通过设置我们需要的得到的变量
比如时间
var timestamp = new Date().getTime()
然后将变量设置为全局变量。
通过上述的方式 ,我们需要设置的变量就已经设置到了全局变量中了
**接下来就是获取: **
**获取结果: **
应用于多个请求之间, 有数据关联、或依赖关系时 。(用的较多)
==登录—令牌==
A、B 两个接口
1. 向B接口中发送请求, 获取数据
2. 将数据设置成为全局变量(环境变量)中,
3, A接口 获取全局变量(环境变量) 中的数据, 进行使用
**应用案列: **
执行测试
## 使用newman生成测试报告
先进行安装newman
然后通过下面的命令进行生成测试报告
如果说我们的请求只有请求体或者参数中的数据不同之外, 其他都一样, 那么我们就需要通过参数化 来将数据导入, 让其自动执行即可
缺点:
1. 不支持bool类型数据
2. 不支持多参、少参、错误参数的接口测试
3, 不支持复杂数据类型(如嵌套、列表等)
优点 :
完全弥补了CSV格式的缺点
缺点:
1. 相同数据量, json格式的数据文件大小远大于csv格式的文件大小
具体操作步骤:
[ ]
包裹 , 内部是{ }
一般的使用方式主要有两种
格式:
使用{{username}} 包裹 csv文件的字段名 或者 json文件的key
需要借助postman提供的关键字data后面 跟 csv文件的字段名 或者 json文件的key
格式: data.字段名
pm.test("Your test name", function () {
var jsonData = pm.response.json();
pm.expect(jsonData.value).to.eql(100);
});
我们需要的是 : 手机号运营商 是否为电信
==进行更改==
// 主要用来断言 手机号运营商 是否为电信
pm.test("断言手机号运营商", function () {
var jsonData = pm.response.json(); //得到整个响应体
//todo 我们需要从整个响应体中找打一级标题data
//然后从data中找打sp, 然后进行判断是否相等
pm.expect(jsonData.data.sp).to.eql("电信");
});
pm.test("断言 响应码", function () {
pm.response.to.have.status(200);
});