60个API测试最佳实践

应用程序编程接口 (API) 是现代世界的支柱。您在数字平台上进行的许多活动都利用了 API，而测试这些 API 是提供良好的软件和应用程序用户体验的关键。如果您正在尝试测试 API 但不知道从哪里开始，请继续阅读并发现 60 个可用于参考的 API 测试测试用例 。我们还提供了一个测试用例模板，以便您可以在工作中实际使用这些测试用例，以及有关如何测试 API 的详细指南。 

什么是 API 测试？

API 测试是一种 软件测试实践，它直接测试 API——从其 功能、可靠性、性能到安全性。作为 集成测试的一部分，API 测试旨在在短时间内验证构建架构的逻辑。API 测试的目标不是检查单个软件组件本身，而是检查 它们之间的连接 。 

API 测试可以手动执行 ，也可以借助 API 测试工具自动执行，每种方法都有各自的优缺点。通常，由于这种测试类型的重复性和数据驱动性，人们更倾向于使用自动化 API 测试。此外，API 测试有很多方面，但以下是 3 个最常见的类别：

• 功能测试（检查 API 是否按预期执行其功能）
• 性能测试（检查 API 在不同使用级别下的表现）
• 安全测试（检查 API 是否存在任何漏洞或是否已受到保护以防范安全威胁）

每个类别有 60 个 API 测试用例

1. API 功能测试的测试用例

功能是任何被测应用程序 (AUT) 的核心，API 也不例外。它们最基本、最基础的功能是数据检索和数据发送，API 功能测试应该围绕这两个领域展开。查看以下功能测试用例，了解如何将它们应用于您自己的测试项目：

1. 有效请求的状态代码验证：验证 API 是否对有效且格式正确的请求始终返回预期的响应状态代码，例如“200 OK”。
2. 使用无效凭证的身份验证处理：在提供无效的身份验证凭证时测试 API 的响应，确保它始终按预期返回“401 未授权”状态代码。
3. 妥善处理缺失或无效参数：验证 API 是否妥善处理缺失或无效的请求参数，并返回清晰且用户友好的错误消息以帮助进行故障排除。
4. 使用格式错误的数据进行输入数据验证：通过提交各种形式的格式错误数据（例如无效的电子邮件格式）来测试 API 的输入验证，并确认它正确拒绝并响应这些输入。
5. 负载下的超时处理：通过模拟需要更长时间处理的请求来确认 API 是否正确处理超时，确保它保持响应并且不会挂起。
6. 分页功能验证：通过请求特定页面的结果并验证响应是否包含预期数据和分页信息来测试 API 的分页功能。
7. 无数据损坏的并发测试：验证 API 是否能够处理来自多个用户的并发请求，而不会出现数据损坏或冲突，从而确保数据完整性。
8. 响应格式遵守（JSON / XML）：确保 API 始终以指定的格式（例如，JSON 或 XML）返回响应，并遵守定义的数据结构模式。
9. 通过重复请求进行缓存机制评估：通过重复请求并验证缓存标头是否正确设置和遵守来评估 API 的缓存机制。
10. 速率限制评估：通过以超出定义限制的速率发送请求并检查预期的速率限制响应来测试 API 的速率限制，确保限制得到强制执行。
11. CRUD 操作的 HTTP 方法支持：验证 API 是否支持创建、读取、更新和删除操作的各种 HTTP 方法（GET、POST、PUT、DELETE），并且是否为每种操作返回适当的响应。
12. 有意义消息的错误处理能力：通过故意导致错误（例如无效输入或意外情况）来评估 API 的错误处理能力，并确认它始终返回有意义的错误消息以进行故障排除。
13. 条件请求处理（If-Modified-Since、If-None-Match）：使用 If-Modified-Since 和 If-None-Match 等标头测试 API 对条件请求的支持，确保响应得到适当处理。
14. 资源列表的排序和过滤验证：验证 API 是否根据指定的参数正确排序和过滤资源列表，以保持数据的准确性。
15. 处理长数据或复杂数据而不会损坏数据：确保 API 正确处理长数据或复杂字符串（例如 URL 或文本字段），而不会截断或损坏数据。
16. 多种格式的内容协商支持：通过指定不同的 Accept 标头（例如 JSON、XML）并验证响应格式是否与请求的格式匹配来测试 API 对内容协商的支持。
17. 资源未找到处理（404 未找到）：确认 API 在尝试访问不存在的资源时始终返回适当的“404 未找到”响应。
18. 各种请求的响应时间测量：测量 API 对不同类型请求的响应时间，以评估其性能和响应能力。
19. 处理大型有效负载（文件上传）：验证 API 是否可以处理大型有效负载（例如文件上传），而不会遇到错误或显著的性能下降。
20. 与客户端库和 SDK 的兼容性：评估 API 与不同客户端库或 SDK 的兼容性，以确保与各种平台和编程语言的无缝集成。

2. API 性能测试的测试用例

如果您团队开发的 API 流量很大，那么将性能测试纳入日常工作是个好主意。事实上，性能测试应该在开发开始之前就开始，因为它可以提供有关服务器最大压力水平的宝贵见解，从而帮助 IT 运营团队更好地分配和优化资源使用。以下是进行 API 性能测试时的一些常见测试用例：

1. 基线响应时间：测量正常条件下简单 API 请求的响应时间，以建立性能基线。
2. 压力测试：向 API 发送大量同时请求，以评估其在高负载下的性能。
3. 并发测试：评估 API 如何处理指定数量的并发请求而不会降低性能。
4. 加速测试：随着时间的推移逐渐增加请求的数量，以确定 API 的断点和性能限制。
5. 峰值负载测试：在峰值使用时间测试 API 的性能，以确保它能够处理预期的最大流量。
6. 耐久性测试：长时间持续向 API 发送请求，以评估其随时间变化的稳定性。
7. 可扩展性测试：逐渐增加负载并测量 API 如何通过添加更多资源（例如服务器）来扩展以保持性能。
8. 资源利用率测试：在进行性能测试时监控 CPU、内存和网络利用率，以识别资源瓶颈。
9. 响应时间分布：分析响应时间分布以识别异常值和性能问题。
10. 延迟测试：测量客户端和 API 服务器之间的网络延迟，以确保用户的低延迟。
11. 吞吐量测试：确定 API 在保持可接受的响应时间的同时每单位时间内可以处理的最大事务数。
12. 错误率测试：监控并记录负载测试期间的错误或失败请求率，以评估错误处理和弹性。
13. 缓存性能：评估缓存对响应时间和资源利用率的影响。
14. 数据量测试：使用不同的数据量（例如小、中、大有效负载）测试 API，以评估其在不同数据大小下的性能。
15. 地理负载测试：模拟来自不同地理位置的请求，以评估 API 的全球性能和响应时间。
16. 带有身份验证的并发性：评估 API 如何处理带有身份验证的并发请求，包括令牌验证。
17. 数据库负载测试：通过测量查询响应时间来评估 API 请求对相关数据库的影响。
18. 长时间运行的事务：测试需要大量时间才能完成的事务并评估其对整体系统性能的影响。
19. 速率限制压力测试：测试在速率限制的情况下 API 如何处理过多请求。
20. 故障转移测试：模拟服务器故障并测试 API 在保持性能的同时故障转移到备份服务器的能力。

3. API 安全测试的测试用例

最后，还要确保检查 API 安全性，因为这是交换敏感和高价值数据的区域。API 一直是攻击者寻求未经授权访问您系统的常见目标。一些常见的 API 安全测试用例包括：

1. 身份验证测试：验证 API 是否对所有端点强制执行正确的身份验证。
2. 授权测试：确保用户只能访问他们被授权访问的资源。
3. 令牌安全性：测试身份验证令牌的安全性，包括令牌加密和过期。
4. 会话管理：检查安全会话管理和会话 cookie 的处理。
5. SQL 注入：通过在 API 参数中注入恶意 SQL 查询来测试SQL 注入漏洞。
6. 跨站点脚本 (XSS)：验证 API 是否受到保护，以免受到通过注入恶意脚本造成的 XSS 攻击。
7. 跨站点请求伪造 (CSRF) ：通过提交未经授权的请求来测试 API 是否容易受到CSRF 攻击。
8. 输入验证：确保 API 验证并清理用户输入以防止注入攻击。
9. 速率限制：测试 API 的速率限制，以防止滥用和 DoS 攻击。
10. 敏感数据暴露：验证敏感数据（例如密码或 API 密钥）不会在响应中暴露。
11. HTTPS/TLS 测试：确保 API 通过 HTTPS/TLS 使用安全通信并检查证书有效性。
12. CORS（跨域资源共享）安全性：测试正确的 CORS 标头以防止未经授权的跨域请求。
13. API 密钥安全性：评估 API 密钥及其存储的安全性。
14. JWT（JSON Web Token）安全性：评估用于身份验证和授权的 JWT 的安全性。
15. 身份验证绕过：尝试绕过身份验证机制并获得未经授权的访问。
16. 会话固定：测试 API 是否容易受到会话固定攻击。
17. 不安全的直接对象引用 (IDOR)：通过操纵对象引用检查对资源的未经授权的访问。
18. 拒绝服务 (DoS) 测试：尝试使 API 过载并测试其抵御 DoS 攻击的能力。
19. API 版本控制：验证 API 是否支持版本控制，以防止重大更改影响现有客户端。
20. 安全标头：检查 API 响应中是否存在安全标头，例如内容安全策略 (CSP)、X-Content-Type-Options 等。

如何为 API 测试编写测试用例？

在专门为 API 测试编写测试用例时， 

1. 彻底了解 API。通读 API 提供商提供的 API 文档。还要检查是否 有可用于测试的API 沙盒，如果有，也请检查其文档。
2. 遵循一致的测试用例命名约定。
3. 您可以将相似的测试用例归类到具有共同特征/场景的组中
4. 在创建测试用例之前，熟悉要测试的要求或功能，以便知道要包含哪些信息
5. 在每个测试步骤开始时使用动作动词，例如“单击”、“输入”或“验证”。如果需要，您甚至可以创建语义结构来描述您的测试用例。您可以查看在 BDD 测试中如何做到这一点。
6. 包括执行测试之前所需的任何设置或先决条件。
7. 确保你纳入的测试用例不仅是“常见”场景，还包括用户通常不会遇到但确实在系统中发生的负面场景
8. 使用格式化使您的测试用例更易于阅读和理解
9. 确保定期更新测试用例

原文链接：60 Test Cases For API Testing (With Template + API Testing Best Practices)