API测试，它是什么、如何测试和最佳实践

API接口测试是一种验证应用程序接口行为和性能的软件测试。它用于确保 API 正常运行并满足其要求。 API 测试包括向服务器发送请求、分析响应并验证它们是否正确。它还涉及安全漏洞、性能问题和其他潜在错误的测试。通过执行 API 测试，利益相关者可以确保他们的应用程序按预期运行。

什么是API？

API是一个软件解决方案，作为中介，使两个应用程序能够相互交互。以下一些特征让API变得更加有用和有价值：

• 遵守REST和HTTP等易于访问、广泛理解和开发人员友好的标准。
• API不仅仅是几行代码；这些是为移动开发人员等特定受众创建的。
• 这些有清晰的文档和版本，以满足用户的期望。
• 更好的治理和安全性，以及监控以管理性能和可扩展性。

如今，基本每家企业都会使用许多API类型，如天气API、支付处理API、身份认证API、全球新闻API、图像内容审核API等，以丰富企业的服务能力。

也出现了很多以销售API产品为主的企业，如百度智能云、易宝支付、翔云识别、Authing.cn….等，帮助客户解决某一方面的问题。

为什么 API 测试很重要？

这很重要，因为 API 是现代应用程序的支柱，并确保应用程序的不同组件能够正确地相互通信。 

它确保应用程序编程接口 (API) 按预期执行并满足用户需求。通过此测试，测试人员可以检测 API 中的缺陷和问题，例如不正确的数据格式、错误响应或安全缺陷。在开发过程的早期发现此类问题可以让开发人员在问题变得更加复杂并花费更长的时间之前解决它们。

API 测试的类型：

当涉及到此测试时，主要重点是验证 API 的功能和性能。基本断言从验证响应正文、模式和响应代码开始。

但还需要进行其他测试，例如API的安全测试、性能测试等。 

以下是一些可以创建测试用例的常见类型：

• 功能测试：API 的功能测试涉及验证在给定特定请求的情况下是否返回预期响应和数据格式。这是通过向 API 发送请求并验证是否返回正确的响应来完成的。应该进行此测试以检查新功能和现有功能是否按预期方式运行。例如验证状态代码和响应正文。阅读有关API 功能测试的更多信息。
• 性能测试：此类测试用于验证 API 是否可以处理大量数据和高流量。性能测试用于衡量 API 的速度和响应能力。这是通过监控 API 的正常运行时间、响应时间和吞吐量来完成的。例如，验证 API 负载时的响应时间和响应大小。当我们测试多个用户和多个请求时，我们正在加载 API 并尝试分析 API 的性能。阅读有关 API 性能测试的更多信息。
• 安全测试：此类测试验证 API 是否安全，可以保护敏感数据并防止未经授权的访问。执行安全测试是为了识别 API 系统中的安全漏洞，例如跨站点脚本、SQL 注入以及身份验证和授权控制。安全测试还必须识别基础设施中的任何安全缺陷，例如传输或存储的未加密数据、弱密码、默认凭据和网络架构。 
• API 文档测试：此类测试用于验证 API 是否易于使用和理解，并且其性能如 API 文档中所述。它确保文档准确反映 API 功能，并且所有功能都正确集成到产品中。通过API文档测试，测试人员确保API返回正确的数据，参数和值设置正确，并且返回的数据采用预期的格式。这类似于针对应用程序行为的功能需求文档/规范文档验证。
• 回归测试：此类测试用于验证对 API 所做的更改不会导致意外错误或回归。测试通常涉及使用各种测试参数向 API 发送请求，确保发回适当的响应，并且任何应用程序或数据库逻辑都按预期运行。构建了回归测试套件并实现了 API 自动化。例如，修复了与状态代码相关的错误，然后还对该 API 端点进行了功能验证。
• 容错测试：此类测试验证系统在发生意外故障时准确、及时响应的能力。这是作为错误处理场景验证以及 API 如何响应可能造成损害的输入或请求（例如拒绝服务攻击、输入太大或太复杂而无法处理或逻辑错误）的一部分来完成的。测试这些潜在风险非常重要，因为它将提供对 API 稳健性的深入了解，确保它能够处理不可预测或恶意的输入而不会崩溃。 

除此之外，我们可以根据项目需求和项目特定的要求添加测试类型。

什么是 API 方法？

当我们谈到 API 方法时，Web API 使用 HTTP 协议进行通信。众所周知，它遵循客户端服务器模型，其中客户端发送请求，服务器响应。 HTTP 发送请求的方式有很多种，这些方式是 HTTP 动词，并通过其请求方法属性的值来引用。重要且最常用的 API 方法是： 

获取请求 

• 这是最常见的请求，用于向服务器请求数据 
• 它检索并表示当前的确切数据，并且不修改或执行任务
• 即使发出多个相同的请求，也返回相同的结果，这称为幂等 
• Get 请求遵循 CRUD 操作的读取方法  

例子： 

• 获取用于加载网站或导航到登陆页面的 API 
• 要获取特定类别中的热门商品，例如在电子商务网站的家居装饰部分下应用于新产品的最新过滤器 

发布请求 

• 它用于将数据发送到服务器以创建或更新资源，因此会发生数据突变。 
• 当同一个请求发送两次时，会导致重复，称为非幂等
• Post 请求遵循 CRUD 操作的 create 方法 

例子： 

• 在 Gmail 中创建新用户帐户时，它会发送 Post 请求。 
• 在网站上注册网络研讨会时，会使用 Post API。字段中输入的所有数据都会放入请求的响应正文中并发送到服务器 

放置请求 

• 它用于将数据发送到 API 以创建或更新现有资源。
• Put 和 Post 之间的区别在于 Put API 是幂等的。
• Put 将完全替换资源 

例子：

• 编辑学生门户中的现有学生记录 

删除请求 

• 它用于删除单个资源或资源列表，更常见于 RESTful API。必须谨慎使用。 
• 删除同一资源的多个相同请求将返回 404。 

例子：

• 删除API用于从记录中删除不相关的用户数据。

测试 API 方法是什么意思？ 

一旦API设置准备就绪，就根据API测试方法进行测试。测试 API 的方法有多种，可以手动完成，也可以自动完成。从开发人员到测试人员再到 DevOps 工程师，所有人都创建 API 测试策略来进行关键测试，以便从头到尾检查和验证 API 设置及其集成。测试单个服务或端点可能很容易，但更重要的是彻底测试框架并尽早消除设置中的错误

为什么要测试 API 方法？ 

由于每天都会产生大量 API 请求，因此需要进行 API 测试，因为它有助于验证 API 设置是否按预期执行并按预期返回输出。测试将涵盖 API 功能、可靠性、性能和安全性。 

API测试之所以 重要 ，是因为以下原因： 

• API 测试过程在 UI 测试之前完成，它有助于识别和消除大多数服务器级别的错误。此外，API 测试比 GUI 测试消耗更少的测试时间和测试成本
• 由于 API 测试过程有助于代码级功能验证，因此有助于在小错误变成严重错误之前识别它。 
• 它有助于保护和优化服务器和系统之间的通信。它还侧重于检查 API 级别制定的业务逻辑是否正确。由于它还包括处理敏感数据，因此检查 API 安全性至关重要。它检查 API 的合规性和安全性。 
• 通过确保 API 按预期运行，有助于维护客户心目中质量保证的商业声誉，并帮助他们建立信任。 
• 检查 API 测试策略并使其与 CI/CD 管道保持一致非常重要，因为它为更快的发布周期和减少错误数量提供了空间。 

如何测试不同的API方法？

手动测试 API 的方法 

在手动测试中，测试是手动完成的，不使用测试脚本。

探索性测试： 顾名思义，测试人员探索应用程序以识别错误。测试人员可以通过向 API 发送请求来进行黑盒测试，并检查是否收到所需的输出。在白盒 API 测试中，测试人员通常尝试使用源代码找出并验证 API 功能。 

可用性测试： 此类测试取决于 API 结构、可用性目标和用户细分。 API 结构必须可靠且可用。该测试主要以用户为中心，并模仿目标用户组如何使用该软件进行测试。它有助于从最终用户的角度验证产品的功能。 

Ad.hoc测试： 通常在正式测试完成后进行。测试人员对产品进行随机测试，检查是否存在漏洞。这样做是为了检查整个 API 集成的稳定性。这主要是在产品进行细微调整或添加新功能时完成的，测试人员将立即检查特定更新，而无需任何预定义的计划或测试用例文档。 

测试 API 的自动化方法 

在自动化测试中，测试是使用自动化框架或工具自动化的。 

功能测试： 执行此测试是为了验证 API 是否按预期执行。使用正向和负向测试场景来测试 API 的功能，以查看它是否返回预期的输出。 API 必须构建良好才能识别有效和无效请求，由于缺乏 GUI，功能性 API 测试可能会有些挑战性。所以API的功能测试从认证过程的验证开始 

负载测试： 主要是看API在大流量下的表现如何。根据需求，它涉及激发大量请求量并检查响应输出和响应时间（范围从每秒或每分钟到每小时）并查找错误。它是检查API在负载下如何运行。定期进行负载测试，记录API的性能基准和断点。 

安全测试：  API 及其基本功能还列出了安全要求，例如身份验证和访问控制。它是为了保护数据和应用程序免受黑客攻击。 

回归测试： 当应用程序频繁更新时，测试人员更喜欢回归测试，例如，如果在每个冲刺期间添加新功能，以及需要重复测试时。它有助于节省 多次重新运行 测试场景的时间和精力。

搜索并选择合适的API测试工具并制定API测试策略是至关重要的一步。 Testsigma 是一个低代码测试自动化平台，使用 NLP 创建测试。由于它是低代码的，因此不需要任何先前的编码知识，并且还可以帮助非编码人员轻松执行测试。 

Testsigma 还提供集成自动化 API 测试。 Testsigma 的 API 测试功能有助于使用自然语言编程对 Web、移动和桌面应用程序进行自动化 API 测试。它成为测试管理、测试编写、测试执行和报告的一站式解决方案，无需具备编码语言方面的专业知识。 

它支持为 REST API 方法（GET、POST、PUT、DELETE、PATCH）创建测试，从而为 API 提供完整的全包测试覆盖率。它还支持数据驱动的 API 测试，实时验证预期响应与实际响应，并反映测试状态和测试报告中的错误。 

测试不同 API 方法的挑战。 

将 API 的初始设置与需求保持一致并对 API 调用进行排序是强制性步骤，需要时间和精力。为了减少 API 测试中的人工干预，识别、自动化和验证测试最初可能具有挑战性。 

• 检查 API 的系统集成是一项主要任务，更多地关注 API 设计，以评估其性能并验证每个响应，以检查所有 API 调用是否正常工作。 
• 每次出现新功能更新或增强等变化时，都需要跟踪 API 测试以及对 API 测试自动化流程设置的影响。
• 正确验证 API 参数并设置所需的检查点是避免安全或稳定性问题的重要步骤。 
• 更新 API 测试的 schema 是一个重要的步骤，因为 schema 提供了测试文档的 API 语法和语法，因此在每次更新时相应地更新 schema 并在测试过程中维护它非常重要。 
• 选择适合预算并满足 API 测试要求的正确 API 测试工具是一个关键的决策过程。 

设置API测试环境：

对于工程师来说，建立 API 测试环境来构建和测试他们的应用程序至关重要。对于组织来说，确保其 API 安全且正常运行也至关重要。本地环境确保机密性和匿名性，同时允许开发人员简单地设置、配置和调试他们的程序。

API 测试环境的一些重要方面包括：

1. 设置服务器
2. 建立 API
3. 创建本地帐户进行测试
4. 配置数据库
5. 搭建虚拟开发环境
6. 整合其他服务

在将应用程序部署到生产环境之前，用户可以轻松地在结构良好的环境中对多种情况进行测试。

如何测试API？

测试 API 需要几个步骤。 

建立测试策略/计划：第一步是起草一份测试计划，概述将要运行的测试。有些项目需要测试策略和测试计划。了解有关 API 功能的更多信息。

测试设计：以下步骤是为测试计划中的每个测试编写测试用例。验证 API 预期输出的断言应包含在测试用例中。一些示例测试用例是： 

验证并检查请求参数值、验证响应参数、验证响应架构

测试环境：下一步是准备测试环境。这包括配置 API 以及测试所需的任何工具或库。

测试执行：下一步是运行测试用例并验证 API 结果。

测试报告：最后一步是报告测试结果。生成详细说明已执行测试用例结果的报告，包括结果和遇到的任何问题

测试维护：在指定环境中定期更新测试数据并监控API是否有任何变化。

API 的输出类型：

使用 API 时，客户端应用程序可以期待一种或多种格式（例如 JSON、XML、HTML 等）的响应。不同类型的响应格式为开发人员在将数据集成到项目中时提供了灵活性。让我们讨论一下 API 可以提供的不同类型的输出格式。

1. XML：可扩展标记语言是一种用于创建层次结构的数据格式。

2. JSON：JavaScript 对象表示法是一种轻量级且人类可读的数据交换格式，用于存储和传输数据。

3. HTML：超文本标记语言是用于创建网页和应用程序的主要语言。

4. Text：用于以人类可读的字符串格式返回输出。大多数 JSON 格式将作为“文本”返回。

5.二进制：用于以二进制格式传输数据。

6.图像：可以通过 API 返回 JPEG、GIF 和 PNG 等格式。

每种格式都有其优点和缺点。应根据项目需求和 API 的预期用途来选择格式。

API 测试检测到的错误类型

以下是 API 测试可以检测到的一些错误类型：

1. 语法和验证错误– 这些错误是由于请求正文、端点 URL 等的格式不正确而引起的。 

2. 与安全相关的错误– 这些错误与由于未经授权访问 API 以及发送或接收的数据而可能出现的错误有关。 

3. 内容问题——由于响应数据的错误表示（例如数据转换问题）以及请求的标头参数不正确而导致内容问题。

4. 性能相关问题– 这些问题可能是由于 API 对发送的请求的响应时间缓慢或由于 API 崩溃或超时错误而可能出现的。 

5. 互操作性问题– 当两个不同服务之间的 API 通信由于两个服务之间的兼容性问题而失败时，就会出现这些错误。

API 测试示例

以下是一些 API 测试的实时示例：

• 银行可能会测试其 API，以确保其能够正确处理客户将资金从一个帐户转移到另一个帐户的请求。
• 社交媒体平台可能会测试其 API，以确保它能够正确返回用户的个人资料信息，例如姓名、电子邮件地址等。
• 电子商务网站可能会测试其 API，以确保其能够正确处理客户的订单，例如将产品运送到正确的地址并收取正确的金额。

该测试是确保 API 质量和可靠性的重要组成部分。通过执行许多测试，测试人员可以在问题给用户带来问题之前帮助识别和解决问题。

API 测试的好处

最后，我们可以看看一些好处。

1. 改进的测试覆盖率：有助于确保与应用程序相关的所有功能和数据都准确连接和集成。它可以覆盖 UI 测试可能需要到达的应用程序区域。 

2. 更快的结果： API 测试比 UI 测试运行速度更快并且提供结果更快。 

3. 跨平台测试： API测试可用于跨不同平台进行集成测试。 

4.多环境测试： API测试可以在不同的环境下测试系统并适应数据和系统状态的变化。 

5. 降低成本：它比传统的 UI 测试更便宜、更快。

API测试最佳实践

它是软件开发过程的重要组成部分。以下是一些最佳实践。

• 尽早并经常进行测试：应尽早并经常进行测试，以便在任何可能的故障演变成危机之前发现它们。一旦我们获得了来自开发人员的示例响应或端点，我们就可以开始尝试并尝试理解响应以及它与 UI 值/字段的关系。
• 使用自动化：不要停止单独测试端点。应利用自动化来减少测试 API 所需的时间和精力。因此，尝试自动化并构建您的测试套件。
• 写入断言：断言应用于验证 API 的预期输出。通过分析响应数据的结构，从API对各种请求的响应时间入手。
• 测试所有端点：应测试所有端点以确保它们正常工作。另外，尝试链接请求并测试数据流。
• 安全测试：应测试安全性，以确保 API 安全并保护敏感数据。例如，当您使用无效凭据时，您应该收到 401 Unauthorized 响应代码，并且响应正文不应包含任何敏感信息。
• 衡量 API 性能：应检查性能以确保 API 可以处理大量数据和大量流量。
• 可用性测试：可用性测试验证 API 的设计和用户友好性。它决定了该 API 是否可以被用户轻松使用。只有当 API 易于阅读和实现时，才能用于集成目的。
• 兼容性测试：应测试兼容性，以确保 API 与不同平台、浏览器和设备兼容。
• 回归测试：应测试 API，以确保对 API 所做的更改（由于缺陷修复或新功能）不会导致意外错误或回归。
• 监控：设置测试套件后，您应该监控测试结果并根据需要更新测试。监控将帮助我们随着流量和使用量的增长跟踪 API 的性能和使用情况，从而使它们能够评估先前的性能以发现异常或模式，并提供警报和记录 API 数据的功能。

API 测试的挑战：

任何刚接触此测试的人在开始时都会遇到一些困难。别担心。让我们详细了解您和您的团队面临的挑战。

1.缺乏适当的 API 文档——测试团队需要了解 API 的所有参数、它们的类型以及有效值的范围。此信息可在适当的文档中找到，该文档应该是完整且最新的。 

2.缺乏专业技能：需要API设计、开发和测试方面的特定知识和经验。测试人员必须对技术及其编写语言有深入的了解。

3.解决边缘情况：API 测试工具通常很难找到意外或边缘情况，这可能会导致生产中出现意外行为。

4.系统的互操作性：该测试需要详细掌握系统兼容性。测试人员必须确保不同的系统成功通信并且数据以所需的方式传输。

5.多功能性问题——本次测试中最困难的挑战之一是跨平台测试，因为API需要在不同的平台、浏览器和设备上进行测试。

6.复杂的请求和响应正文/格式：在测试 API 时，模拟所有消息数据类型可能具有挑战性。测试人员必须了解数据格式以及测试消息格式的各种方法。测试所有可能的请求、响应和组合可能具有挑战性。

7.测试数据和API参数组合： API测试必须使用适当的测试数据正确可靠地完成。为 API 测试维护可靠的测试数据集合的过程称为测试数据管理，它需要仔细的管理和组织。 API 测试需要评估几乎所有潜在的参数和值组合，这使得测试变得困难且耗时。

8 .数据安全问题：此测试还应关注所交换数据的安全性。控制访问并确保数据完整性至关重要。测试人员必须了解身份验证、加密和授权过程。 

9.工具的选择：该测试要求测试人员对API测试工具和技术有很好的了解。当测试人员不熟悉脚本语言时，这可能具有挑战性。这就是像 Testsigma 这样的工具可以真正发挥作用的地方。 Testsigma 使测试人员变得更容易。 Testsigma 可让您从同一位置自动执行 Web、移动、桌面和 API 测试，并且还提供开源版本。

10.性能挑战：性能是此测试中的一个重要因素。测试人员必须熟练地理解每个 API 的适当性能标准。必须使用各种数据集、配置和用户负载来测试 API 的响应时间。并向利益相关者进行适当的报告。

11.设置测试环境：配置一个有效且平衡的测试环境来稳定、准确地测试 API 可能是一项具有挑战性的任务。测试环境必须复制 API 在生产中将经历的环境，并且必须提供稳定的测试平台和所有必要的资源。

12. API不稳定：新开发的API可能不稳定。这将要求测试人员在测试和验证过程上花费更多时间。我们必须经常与API开发人员互动并理解API的行为模式。

13.错误处理场景：此测试包括验证不同场景的错误代码。了解所有错误代码确实具有挑战性。覆盖所有场景也是一项复杂的任务。

用于优化质量的 API 测试自动化策略和技术

1.实施端到端测试：

端到端测试需要模仿用户旅程以及通过候选版本进行的 API 调用。这有助于在上线之前验证所有功能是否正常运行并经过测试。

2.利用自动化工具：

不要停止手动测试 API 端点。自动化可确保大规模完成测试，并可以加快 API 测试过程。

3.监控您的 API 性能：

自动监控有助于检测回归和识别性能瓶颈。您可以使用 Elastic APM 等工具监控请求和响应级别的 API 性能。您可以配置在性能严重波动时触发警报，以便您迅速采取补救措施。

4.利用部署后测试：

这使您能够了解 API 在现实中的使用方式，并检测其实现中的任何错误或已添加的新功能。最初，这应该手动完成，但随着平台的发展，它可能会自动化。

5.利用端点覆盖率分析：

这使您可以确保 API 测试覆盖整个端点并测试所有潜在的状态和场景。在这里阅读更多相关信息：RESTful Web API 的测试覆盖率标准.pdf

给初学者的 API 测试技巧：

如果您不熟悉此测试，这里有一些提示可以帮助您入门：

• 了解基础知识：了解 API 测试的基础知识、API 相关术语非常重要，例如需要执行的不同类型的测试以及可以预期的不同类型的输出。
• 从小而简单的开始。如果您不熟悉 API 测试，请先测试一些基本的 API 调用，然后再进行更复杂的 API 调用。选择 Testsigma 等工具并使用公共 API。任何 API都是一个很好的公共 API 存储库。 
• 了解 API 要求/功能：确保您清楚地了解 API、其输入、输出以及所涉及的任何底层协议或技术。
• 使用正确的工具：正确的工具对于 API 测试至关重要。确保使用适合工作的正确工具 Testsigma 易于使用，并且可以随意尝试该工具。
• 创建测试计划：创建一个测试计划，概述将执行的测试和预期输出。您可以考虑依赖性和风险并详细说明它们。
• 利用 API 调试工具– API 调试工具可以帮助您模拟 API 请求以进行 API 测试。如果您遇到任何 API 请求问题，请使用 API 调试工具快速识别并解决问题。
• 做好研究：保持学习新技术的好奇心并及时了解 API 开发的最新动态。

参考说明

原文链接： https://testsigma.com/guides/api-testing/