API测试 - 什么是API测试？

什么是API测试？

API 测试是软件测试的一种，它分析应用程序编程接口 (API)，以验证其是否满足其预期的功能、安全性、性能和可靠性。这些测试要么直接在 API 上执行，要么作为集成测试的一部分执行。

API 是能够在两个软件程序之间进行数据通信交换的代码。应用程序通常由多个层组成，包括 API 层。API 层专注于应用程序中的业务逻辑，定义请求，例如如何发出请求以及使用的数据格式。与侧重于验证应用程序外观的用户界面 (UI) 测试相反，API 测试侧重于分析应用程序的业务逻辑以及安全性和数据响应。API 测试通常通过向一个或多个 API 端点发出请求并将响应与预期结果进行比较来执行。

API 测试经常被自动化，并被DevOps、质量保证和开发团队用于持续测试实践。API 测试通常通过使用软件向 API 端点发送调用来验证系统的响应来执行。

如何进行 API 测试

API 测试过程应该从明确定义的程序范围以及对 API 应如何工作的充分理解开始。需要考虑的一些问题包括：

API 功能是什么？

哪些端点可用于测试？

成功请求的预期响应代码是什么？

不成功的请求预计会收到哪些响应代码？

不成功的请求正文中预计会出现哪些错误消息？

应该使用哪些API测试工具？

一旦回答了这些和其他测试要求等因素，测试人员就可以开始应用各种测试技术并编写代码来测试 API。

测试用例是为 API 编写的，并且应该定义测试人员可以确定特定系统是否适当响应并正确执行的条件或变量。一旦指定了测试用例，测试人员就可以执行它们并将预期结果与实际结果进行比较。测试分析如下响应：

回复时间。

数据质量。

确认授权。

超文本传输协议 ( HTTP ) 状态代码。

错误代码。

API 测试过程分析多个端点，例如Web 服务、数据库或 Web UI。测试人员应该注意故障或意外输入。响应时间应在团队认为可接受的定义限制内，并且应确保 API 免受潜在攻击。

还应该构建测试以确保用户不会以意外的方式影响应用程序，API 可以处理预期的用户负载，并且 API 可以跨多个浏览器和设备工作。测试还应该分析非功能测试的结果，包括性能和安全性。

API 测试的类型

可以执行各种类型的测试以确保 API 正常工作。测试范围从软件的一般分析到具体分析。以下是这些测试的一些示例。

1. 验证测试

验证测试根据三组不同的标准来分析 API 项目：API 作为产品的可用性、其事务行为及其运营效率。以下是验证测试期间提出的一些典型问题：

· API 的设计方式是否能够满足其产品目标或解决其应有的问题？
· 是否存在任何重大编码失误，导致 API 走向不可持续的方向？
· API 是否按照预定义的策略访问数据？
· API 是否按照安全或合规规则存储数据？
· 任何代码更改都会改善 API 的整体功能吗？

2. 功能测试

功能测试可确保 API 完全按照预期执行。该测试分析代码库中的特定函数，以保证 API 函数在其预期参数范围内，并在结果超出指定参数时处理错误。

3. 负载测试

负载测试用于查看 API 可以处理多少个调用。此测试通常在特定单元或代码库完成后执行，以确定理论解决方案在给定负载下运行时是否也可以作为实际解决方案。

4. 可靠性测试

可靠性测试确保API能够产生一致的结果，并且平台之间的连接是可靠的。

5. 安全测试

API安全性测试尝试验证 API 使用的加密方法以及访问控制设计。它包括对资源访问和用户权限管理的授权检查的验证。

6. 渗透测试

渗透测试建立在安全测试的基础上。在这种类型的测试中，API 会受到对软件了解有限或一无所知的人的攻击。这使得测试人员能够从外部角度分析攻击向量。渗透测试中使用的攻击可以仅限于 API 的特定元素，也可以针对整个 API。

7. 模糊测试

模糊测试强行将大量随机数据（也称为噪声或模糊）输入到系统中，试图产生负面行为，例如强制崩溃或溢出。

8. 单元测试

单元测试是一种测试过程，其中对应用程序的最小可测试部分（称为单元）进行单独和独立的检查以确保正确运行。对 API 进行单元测试的过程包括使用单个请求测试单个端点。

9. 集成测试

集成测试是一种软件测试，其中应用程序的不同单元、模块或组件作为组合实体进行测试。由于 API 用于两个或多个软件之间的集成，因此集成测试会分析 API 如何集成软件。

为什么 API 测试很重要？

UI 测试对于验证 API 服务功能通常效率低下，并且通常无法涵盖后端测试的所有必要方面。这可能会导致服务器或单元级别中留下错误——这是一个代价高昂的错误，会大大延迟产品发布，并可能需要重写大量代码。

API 测试允许开发人员在UI 准备就绪之前在开发周期的早期开始测试。任何在服务器层未生成适当值的请求都不会显示在 UI 层上。这使得开发人员能够在现有错误变得更严重之前消除至少一半的错误。它还使测试人员能够提出通过 UI 可能无法实现的请求——这是暴露安全缺陷的必要条件。

许多公司在其软件应用程序中使用微服务，因为它们可以更有效地部署软件。如果应用程序的一个区域正在更新，其他区域可以继续运行而不会中断。每个应用程序部分都有一个单独的数据存储和用于与该数据存储交互的不同命令。大多数微服务都使用 API；因此，随着越来越多的企业采用微服务，API 测试将变得越来越有必要，以确保所有部分都能正常工作。

API 测试也是敏捷软件开发不可或缺的一部分，其中即时反馈对于流程来说是必要的。在敏捷环境中，单元测试和 API 测试优于图形用户界面 ( GUI ) 测试，因为它们易于维护且效率更高。如果 GUI 测试想要跟上敏捷环境中频繁变化的步伐，则通常需要进行大量的返工。

总体而言，将 API 测试纳入测试驱动的开发过程可以使工程和开发团队在整个开发生命周期中受益。然后，这些好处会以改进的服务和软件产品的形式传递给客户。

API 测试的好处

API测试保证平台之间的连接可靠、安全和可扩展。具体好处包括以下几点：

· API 测试自动化比自动化 GUI 测试需要更少的代码，从而加快测试速度并降低总体成本。
· API 测试使开发人员能够在没有 UI 的情况下访问应用程序，从而帮助测试人员在开发生命周期的早期发现错误，而不是等待它们成为更大的问题。这可以节省资金，因为尽早发现错误可以更有效地解决。
· API 测试与技术和语言无关。数据使用JavaScript 对象表示法或可扩展标记语言进行交换，并且包含 HTTP 请求和响应。
· API 测试在分析应用程序时使用极端条件和输入。这有助于消除漏洞并保护应用程序免受恶意代码和破坏。
· API 测试可以与 GUI 测试集成。例如，集成可以在执行 GUI 测试之前在应用程序中创建新用户。

API测试的挑战

虽然 API 测试带来了各种好处，但它也带来了挑战。
API 测试中最常见的限制是参数选择、参数组合和调用顺序：

· 参数选择需要验证通过 API 请求发送的参数——这个过程可能很困难。然而，有必要保证所有参数数据满足验证标准，例如使用适当的字符串或数字数据、指定的值范围以及符合长度限制。
· 参数组合可能具有挑战性，因为必须测试每个组合以查看其是否存在与特定配置相关的问题。
· 呼叫排序也是一个挑战，因为每个呼叫都必须按特定顺序出现，以确保系统正常工作。

API 测试的其他挑战包括：
· 没有可用于测试应用程序的 GUI，这使得提供输入值变得更加困难。
· 测试人员需要知道如何编码。
· 每个 API 在独立测试时可能可以工作，但在测试整个应用程序时可能无法一起工作。
· 测试时不包括 API 依赖项可能会导致软件整体无法正常工作。

API测试工具

在执行 API 测试时，开发人员可以编写自己的框架，也可以从各种 API 测试工具中进行选择。设计 API 测试框架使开发人员能够自定义测试，因为他们不限于特定工具及其插件的功能。测试人员可以添加他们认为适合其所选编码平台的任何库，构建独特的报告标准并将复杂的逻辑合并到测试中。然而，如果测试人员选择设计自己的框架，则需要编码技能。

API 测试工具提供用户友好的界面和最少的编码要求，使经验不足的开发人员能够部署测试。不幸的是，由于这些工具通常设计用于分析一般 API 问题，因此测试人员 API 的更具体问题可能会被忽视。

API 测试可以检测到的常见错误

API 测试通常可以检测如下软件错误：

· API可靠性问题。
· API 响应时间。
· 重复的功能。
· 超出请求限制。
· 不兼容的错误处理机制。
· 不正确的错误和警告。
· 响应数据结构不正确。
· 缺少功能。
· 多线程问题。
· 安全问题。
· 未使用的标志。

API 测试示例

虽然 API 测试的用例是无穷无尽的，但这里有两个测试示例，可以执行这些测试来保证 API 产生适当的结果。

当用户打开社交媒体应用程序（例如微博或小红书）时，系统会要求他们登录。这可以在应用程序内完成，也可以通过第三方（例如微信或 QQ）完成，这意味着社交媒体应用程序具有与微信和 QQ 达成的现有协议，可访问已提供给这两个来源的一定程度的用户信息。

然后，开发人员必须进行 API 测试，以确保社交媒体应用程序可以与微信和 QQ 合作，获取必要的信息，从而授予用户访问该应用程序的权限。

另一个例子是旅行预订系统，例如携程或去哪。用户希望能够根据要求向他们显示特定日期的所有最便宜的航班选择。这需要应用程序与所有航空公司进行通信，以找到最佳的航班选择——通过 API 完成。

因此，开发人员必须执行 API 测试，以确保旅行预订系统能够与其他公司成功通信，并在适当的时间范围内向用户呈现正确的结果。此外，如果用户随后选择预订航班并使用第三方支付服务（例如易宝）进行支付，则 API 测试必须保证支付服务和旅行预订系统能够有效地进行通信、处理支付并保持用户的敏感度。整个过程数据安全。

API 测试的最佳实践

虽然有很多 API测试最佳实践，但以下是一些最重要的实践：

· 定义测试用例时按类别对其进行分组。
· 将选定的参数包含在测试用例中。
· 为每个潜在的 API 输入组合开发测试用例。
· 重用和重复测试用例以在整个生产过程中监控 API。
· 使用手动和自动测试来产生更好、更值得信赖的结果。
· 测试 API 时，请注意哪些内容一致发生，哪些内容不一致。
· 使用 API 负载测试来测试系统的压力。
· 在测试故障时，应测试 API，使其始终失败，以便隔离问题。
· 制定可靠的计划来执行呼叫排序。
· 通过优先考虑 API 函数调用来简化测试。
· 使用易于理解的高水平文档，并尽可能自动化文档流程。
· 如果可能的话，使每个测试用例保持独立并与依赖项分开。