【接口测试】HTTP接口详细验证清单

概述

当我们在构建、测试、发布一套新的HTTP API时,包括我在内的大多数人都不知道他们所构建的每一个组件的复杂性和细微差别。

即使你对每一个组件都有深刻的理解,也可能会有太多的信息在你的脑海中出现。

以至于我们不可能一下把所有的信息进行梳理,形成成体系的API测试策略,下面我们就HTTP API测试将其checklist进行细化。

主要从以下四个方面进行:

HTTP

API设计
内容
安全
客户端
其他
HTTP
HTTP RFC(Request For Comments)相关文档规定了HTTP交互机制及参数选项,因此你需要了解相关RFC文档才能做好HTTP API的测试:

HTTP1.0: https://tools.ietf.org/html/rfc1945

HTTP1.1: https://tools.ietf.org/html/rfc7232

HTTP2: https://tools.ietf.org/html/rfc7540

在进行HTTP API测试时,以下协议选项或机制是应该考虑覆盖的:

HTTP方法的安全性和幂等性。Http协议规定了不同方法的安全特性和幂等特性,作为服务提供者的服务器必需为客户端提供这些特性。安全性,仅指该方法的多次调用不会产生副作用,不涉及传统意义上的“安全”,这里的副作用是指资源状态。即,安全的方法不会修改资源状态,尽管多次调用的返回值可能不一样(被其他非安全方法修改过)。幂等性,是指该方法多次调用返回的效果(形式)一致,客户端可以重复调用并且期望同样的结果。

HTTP方法的安全性和幂等性见下表:

方法

安全性

幂等性

GET

HEAD

OPTIONS

DELETE

PUT

POST

  1. 认证,验证准确地实现HTTP身份验证,API应该提供一个401状态代码。
  2. 状态码201 Created,使用“201 Created”标识响应代码来表示请求已成功处理,并导致创建新资源。201响应可以包括位置标头中的新资源URI。
  3. 状态码202 Accepted,使用“202 Accepted”的响应代码来表示请求是有效的,并且将被处理,但是还没有完成。通常情况下,这是在服务器端后台处理队列的情况下使用的。
  4. 状态码4xx与5xx状态代码之间有一个重要的区别:4xx和5xx的状态码:4xx代码是用来表示客户端错误的,而5xx代码表示服务器端错误。
  5. 状态码410 Gone响应代码是一种未得到充分利用的响应代码,该代码通知客户端在该URL中使用的资源,但不再是。可以在您的API中使用它来表示已删除、归档或过期的项。
  6. 状态码100-Continue——如果API客户端准备发送一个大型实体的请求,比如POST、PUT或补丁,他们可以在HTTP头中发送“Expect:100-Continue”,然后在发送实体实体之前等待“100继续”响应。这允许API服务器在浪费带宽返回错误响应(例如401或403)之前验证请求的有效性。支持这种功能不是很常见,但是它可以提高API的响应能力并在某些场景中减少带宽。
  7. Connection Keep-Alive,为多个API请求维护与API服务器的连接可能是一个很大的性能改进。如果配置正确,几乎每个web服务器都应该支持保持生命连接。
  8. HTTP Compression,HTTP压缩既可以用于响应主体(接受编码:gzip),也可以用于请求主体(内容编码:gzip)来提高HTTP API的网络性能。
  9. HTTP Caching, 在API响应中提供一个cache-control报头。如果它们不能缓存,“cache-control:no-cache”将确保代理和浏览器能够理解这一点。如果它们是可缓存的,则需要考虑各种因素,比如缓存是否可以由代理共享,或者资源是否"fresh"。
  10. Cache Validation, 如果有可缓存的API,那么应该在响应中提供最后修改或ETag头,然后支持If-修饰性请求,因为有条件的请求。这将允许客户机检查它们的缓存副本是否仍然有效,并在不需要时阻止完整的资源下载。如果正确实现,可以使条件请求比通常的请求更有效,并节省一些服务器端负载。
  11. Conditional Modifications, ETag头也可以用于支持资源的条件修改。通过在获取上提供一个ETag头,稍后的POST、补丁或删除请求可以提供一个if-match头来检查它们是否在更新或删除它们上次看到的相同状态的资源。
  12. Absolute Redirects, 对http/1.1的重定向(例如:……201、301、302、303、307响应代码)应该包含位置响应头中的一个绝对URI。许多客户机在位置上支持相对uri,但是如果希望API与许多客户机广泛兼容,那么应该在任何重定向中使用绝对uri。
  13. Link Response Header,在RESTful API中,即使响应的内容类型没有提供链接的自然方式(例如,PDF或图像表示),通常也需要提供指向其他资源的链接。RFC5988指定了在响应头中提供链接的方法。
  14. Canonical URLs, 对于具有多个URL的资源,RFC6596定义了提供规范URL链接的一致方法。
  15. Chunked Transfer Encoding, 如果有大量的内容响应,则转换编码:分块是一种很好的方式来对客户端进行响应。它将减少服务器和中间服务器的内存使用需求(特别是实现HTTP压缩),并提供更快的第一个字节响应。
  16. Error Handling in Chunked Transfer Encoding, 在执行并实现分块传输编码之前,要弄清楚如何处理在请求中出现的错误。一旦开始处理响应,就无法更改HTTP状态代码。通常,需要定义一种表示内容类型内的错误的方法。
  17. X-HTTP-Method-Override, 一些HTTP客户端除了GET和POST以外什么都不支持;可以通过POST来隧道其他HTTP方法,并使用实际的标准x-HTTP-method-重写头来记录“真正的”HTTP方法。
  18. URL Length,如果API支持复杂的或任意的过滤选项作为GET参数,请记住,客户端和服务器都可以在超过2000个字符的URL上存在兼容性问题。

API设计

学习和了解良好的API设计原则,有利于你深入对API的测试和验证,以确保API具备更好的可用性、安全性。

 Statelessness, 始终保持应用服务器的状态,就可以轻松且毫无痛苦地扩展和维护了。

Content Negotiation, 如果想要支持资源的多个表示,您可以使用Content Negotiation(内容协商)(例如。接受标头),或者不同的url的不同的url(例如。格式=json),也可以将内容协商资源重定向到特定的格式。

URI Templates, URI模板是一种定义良好的机制,用于向客户端提供URL组合功能,或者将URL访问模式记录到终端用户。

Design for Intent,不要仅仅通过API公开内部业务对象。设计API具有语义意义,并匹配用户所使用示例。

Versioning, 从理论上讲,如果预先设计了一个非常棒的API,那么可能永远不需要在API中创建不兼容。对于我们中的实用主义者来说,在API url中放置版本控制(例如。a/v1/path),这样就有了一个机制来控制和升级API了。

Authorization, 通过认证来控制哪些API是可以公开访问的,哪些API是必须认证后才能访问的,从而对API的访问权限进行控制管理

Bulk Operations, 如果能够减少发出更少的请求与服务器进行交互,那么批量操作的API是一个很不错的设计。

Pagination, 分页在API中有两个主要目的:一是减少了向客户机发送的不需要的数据量,并且减少了应用服务器上不必要的计算量; 二是更多不同的模式用于进行分页的收集资源;

Unicode, 统一的字符编码

Error Logging, 确保有日志机制记录API的错误,并将用户输入导致的错误与应用程序的错误分开记录 

内容

  1. Content Types, 要把内容类型进行详细的阐述可能需要一整本书。这里主要指出其重要性,在开发过程中,我们应该尽可能的复用标准或是经过实践检验的内容格式,例如Atom, Collection+JSON, JSON HAL, or XHTML。
  2. HATEOAS,作为应用程序状态引擎的超媒体是一个REST约束。简单地描述,这意味着你的内容应该通过链接和表单告诉客户它下一步要做什么。
  3. Date/time,当在API中提供日期/时间值时,使用包含时区信息的格式要统一。

安全

  1. SSL-考虑是否应该在HTTP和HTTPS下提供API,或者只使用HTTPS。HTTPS是一个越来越受欢迎的选择。
  2. CSRF跨站点请求伪造,如果您的API接受您的交互用户使用的相同的身份验证配置,那么您可能很容易受到CSRF攻击。所以要有机制防CSRF攻击。
  3. Throttling,确保一个API用户不能通过编写一个非常愚蠢的API客户端来降低您的系统性能。如果API用户超过了应该为他们提供的API请求限制,那么就给他们一个503的响应,并带有一个retry-header。
  4. Subtle Denial of Service, 防DDoS攻击

客户端

  1. 为了确保我们提供的API能被用户有效的使用,我们应该为用户定制一些基本的规则,以防止API被用户滥用:
  2. Connection Keep-Alive, 一些HTTP客户端库要求您做一些额外的工作来启用持久连接。持久的连接可能会对您的API的性能产生重大影响。
  3. 401 before Authorization, 一些HTTP客户端库的另一个奇怪之处在于,通常需要一个“401未授权”的响应,然后才会用授权标头发出请求。这可以为您的API请求增加很多时间,特别是在移动网络中,高延迟将成为一个纠结的问题。
  4. Expect: 100-continue, 至少有一个API客户端默认使用“Expect:100continue”;如果它没有接收到“100continue”响应,它将在3秒超时之后继续请求。如果您不支持“100continue”,最好在客户端禁用该能力,否则会导致服务性能的下降。

其他

  1. Documentation, 编写API文档确实很无聊,但是手工编写的文档通常是最好的文档。一定要包含一些可运行的代码或curl命令行,以帮助用户尽可能快地上手。
  2. Design with a Customer, 不要闷着头设计API,要尽可能多与你的用户交流、交互。
  3. FeedBack,确保为API用户提供了一种方法,可以对API进行反馈。这可以通过你的支持渠道,也可以是一个托管论坛,也可以是一个邮件列表。尽量让用户不受摩擦的影响。
  4. Automated Testing,API应该是为构建自动化测试所做的最简单的事情。毕竟,它是为自动化而生的。利用它!

最后感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:

这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你! 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/261806.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

python如何更改代码背景图片,背景主题(黑色护眼)和各类文本颜色(python进阶必看,爱了爱了)

一、在 PyCharm 中设置图片背景的方法如下: 打开 PyCharm 的设置窗口,在设置窗口中找到 "Appearance & Behavior" -> "Appearance" 选项卡。在 "Appearance" 选项卡中,找到 "Background Image&qu…

Python学习之复习MySQL-Day8(事务)

目录 文章声明⭐⭐⭐让我们开始今天的学习吧!事务简介事务操作模拟转账操作开启事务提交事务回滚事务查看/设置事务提交方法实例演示 事务四大特性并发事务问题分类 事务隔离级别分类查看/设置事务隔离级别实例演示 文章声明⭐⭐⭐ 该文章为我(有编程语…

Mysql的SQL优化和锁

👏作者简介:大家好,我是爱吃芝士的土豆倪,24届校招生Java选手,很高兴认识大家📕系列专栏:Spring源码、JUC源码、Kafka原理、分布式技术原理、数据库技术🔥如果感觉博主的文章还不错的…

闫式Dp分析法(一种求解动态规划问题的思路)

最近一直跟着Acwing学习动态规划问题的求解思想,感觉晦涩的算法问题一旦经过闫式Dp分析法的剖析,瞬时迎刃而解,故今天我觉得很有必要再次分享一下闫式Dp分析法(在此默认你对DP问题有了一定的了解)。 闫式Dp分析法 闫式…

前端问题记录

jenkins安装vue依赖报错 jenkins 安装依赖,报错cannot find module ‘/root/.jenkins/workspace/项目路径/node_modules/xxxx’,如图上 解决:执行 npm install vue/cli-service --unsafe-perm,再执行npm i

你以为出现NoClassDefFoundError错误会是什么原因?

你以为出现NoClassDefFoundError错误会是什么原因? 1、概述2、事情经过3、总结 1、概述 大家好,我是欧阳方超,可以关注我的公众号“欧阳方超”,后续内容将在公众号首发。 同样的错误,非一样的解决方式。NoClassDefFou…

【sgDragUploadFolder】自定义组件:自定义拖拽文件夹上传组件,支持上传单个或多个文件/文件夹,右下角上传托盘出现(后续更新...)

特性&#xff1a; 支持在拖拽上传单个文件、多个文件、单个文件夹、多个文件夹可自定义headers可自定义过滤上传格式可自定义上传API接口支持显示/隐藏右下角上传队列托盘 sgDragUploadFolder源码 <template><div :class"$options.name" :dragenter"i…

使用Gitee中的CI/CD来完成代码的自动部署与发布(使用内网穿透把本地电脑当作服务器使用)

&#x1f4da;目录 &#x1f4da;简介:⚙️ 所需工具&#xff1a;&#x1f4a8;内网穿透配置&#x1f4ad;工具介绍✨命令安装&#x1f38a;配置Cpolar&#x1f573;️关闭防火墙&#x1f95b;防火墙端口放行规则&#xff08;关闭防火墙可以忽略&#xff09;&#x1f36c;小章总…

WCF服务总结

前言 WCF,全称为Windows Communication Foundation,是一种用于构建分布式应用程序的微软框架。它提供了一种统一的编程模型,用于构建服务导向的应用程序,这些应用程序可以在本地或远程计算机上运行。WCF 支持多种传输协议和编码格式,并提供了高级安全性、可靠性和事务处理…

微软在 Perforce Helix 核心服务器中发现4个安全漏洞

微软分析师在对Perforce Helix的游戏开发工作室产品进行安全审查时&#xff0c;发现为游戏、政府、军事和技术等部门广泛使用的源代码管理平台 Perforce Helix Core Server 存在四大漏洞&#xff0c;并于今年 8 月底向 Perforce 报告了这些漏洞&#xff0c;其中一个漏洞被评为严…

路径规划之RRT *算法

系列文章目录 路径规划之Dijkstra算法 路径规划之Best-First Search算法 路径规划之A *算法 路径规划之D *算法 路径规划之PRM算法 路径规划之RRT算法 路径规划之RRT *算法 路径规划之RRT*算法 系列文章目录前言一、RRT算法1.起源2.改进2.1 重新选择父节点2.2 重新布线 3.对比…

day44代码训练|动态规划part06

完全背包和01背包问题唯一不同的地方就是&#xff0c;每种物品有无限件。 1. dp数组的含义 dp[i][j] 0-i物品&#xff0c;重量为j的容量时&#xff0c;最大的价值 2. 递推公式 dp[i][j] max(dp[i-1][j],dp[i][j-weight[i]]value[i]); 两种状态&#xff0c;不用物品i的话&…

【数论】质数

试除法判断质数 分解质因数 一个数可以被分解为质因数乘积 n &#xff0c;其中的pi都是质因数 那么怎么求pi及其指数呢&#xff1f; 我们将i一直从2~n/i循环&#xff0c;如果 n%i0&#xff0c;那么i一定是质因数&#xff0c;并且用一个while循环将n除以i&#xff0c;一直到…

蛇梯棋[中等]

一、题目 给你一个大小为n x n的整数矩阵board&#xff0c;方格按从1到n2编号&#xff0c;编号遵循 转行交替方式 &#xff0c;从左下角开始 &#xff08;即&#xff0c;从board[n - 1][0]开始&#xff09;每一行交替方向。玩家从棋盘上的方格1&#xff08;总是在最后一行、第…

礼品企业网站搭建的作用是什么

礼品一般分为企业定制礼品和零售现成礼品&#xff0c;二者都有很强的市场需求度。同时对礼品企业而言&#xff0c;一般主要以批发为主&#xff0c;客户也主要是零售商或企业。 1、拓客难 不同于零售&#xff0c;即使没有引流&#xff0c;入驻商场或街边小摊也总会有自然客户。…

【C++篇】Vector容器 Vector嵌套容器

文章目录 &#x1f354;简述vector&#x1f384;vector存放内置数据类型⭐创建一个vector容器⭐向容器里面插入数据⭐通过迭代器访问容器里面的数据⭐遍历&#x1f388;第一种遍历方式&#x1f388;第二种遍历方式&#x1f388;第三种遍历方式 &#x1f384;vector存放自定义数…

揭秘 Go 中 Goroutines 轻量级并发

理解 Goroutines、它们的效率以及同步挑战 并发是现代软件开发的一个基本概念&#xff0c;使程序能够同时执行多个任务。在 Go 编程领域&#xff0c;理解 Goroutines 是至关重要的。本文将全面概述 Goroutines&#xff0c;它们的轻量级特性&#xff0c;如何使用 go 关键字创建…

FPGA模块——以太网(1)MDIO读写

FPGA模块——以太网MDIO读写 MDIO接口介绍MDIO接口代码&#xff08;1&#xff09;MDIO接口驱动代码&#xff08;2&#xff09;使用MDIO驱动的代码 MDIO接口介绍 MDIO是串行管理接口。MAC 和 PHY 芯片有一个配置接口&#xff0c;即 MDIO 接口&#xff0c;可以配置 PHY 芯片的工…

Ubuntu 常用命令之 ifconfig 命令用法介绍

&#x1f4d1;Linux/Ubuntu 常用命令归类整理 ifconfig 是一个用于配置和显示 Linux 内核中网络接口的系统管理命令。它用于配置&#xff0c;管理和查询 TCP/IP 网络接口参数。 ifconfig 命令的参数有很多&#xff0c;以下是一些常见的参数 up&#xff1a;激活指定的网络接口…

Java学习系列(五)

1.继承 继承是java面向对象编程技术的一块基石&#xff0c;因为它允许创建分等级层次的类。 继承就是子类继承父类的特征和行为&#xff0c;使得子类对象&#xff08;实例&#xff09;具有父类的实例域和方法&#xff0c;或子类从父类继承方法&#xff0c;使得子类具有父类相…