软件测试培训之接口测试的必要性

软件测试培训之接口测试的必要性

上面说过，get和post请求是通过路径来区分的，get请求的请求参数都是写在URL里的。而post的请求一般都是写在body里的，可能是key-value格式，或者json串格式，也可能是上传一个文件。那么问题来了，get请求和post请求的区别在哪里呢?我们百度时，大多数的答案是这样的：

1、get请求可以在浏览器中请求到，post请求的测试需要借助工具

2、get请求使用url和cookie传参，post的数据放在body中

3、post比get更安全，因为传递的参数在url上是看不到的

4、get请求的url会有限制，而post请求的数据可以非常大

5、一般get请求是来获取数据，post请求是传递数据的

其实，对于现在飞速发展的互联网来说，上面的说法已经不严谨了。首先，post请求的参数也可以写在url里，但是这种情况不多见;其次表面上看起来，post利用body传参，比get的url传参安全，但其实只要用抓包工具(fiddler，Charles等)，post的参数也是一览无余;再次，现在的浏览器非常强大，可以输入支持很长的URL，所以也不再有限制一说了。这么说来，种种区别只有最后一条是最根本的了。

怎么来测试接口呢?根据什么来测呢?这就需要开发提供的接口文档了，接口文档和功能测试的需求说明书的功能是一样的。包括：接口说明、调用的url，请求方式(get or post)，请求参数、参数类型、请求参数说明，返回结果说明。有了接口文档后，我们就可以设计用例了，一般接口测试的用例分为以下几种：

1、通过性验证，说白了就是传递正确的参数，是否返回正常的结果

2、参数组合，因为参数有必传和非必传，参数的类型和长度，以及传递时可能业务上的一些限制，所以在设计用例时，就要排列组合这些情况，保证所有情况都能覆盖到

3、接口的安全性，这个又分为几种情况：

1)绕过验证，比如提交订单时，在传递商品价格参数时，修改商品价格，就要看后端有没有验证了。或者我支付时，抓个包将订单金额一改，如果能以我改后的金额支付，那这个借口就有问题了。

2)绕过身份验证，就是某个功能只有有特殊权限的用户才能操作，那我传递一个普通的用户，是不是也能操作呢

3)参数是否加密，这个关系到一些账户的安全，比如我们在登录一些网站时，它要将我们的登录信息进行加密，如果不加密我们的信息就会暴露，危害性极大。

4) 密码安全规则，设置密码时复杂程度的校验。

4、根据业务逻辑来设计用例