什麼是介面？

　　介面測試主要是用於外部系統與內部系統以及內部各個子系統之間的互動點，定義特定的互動點，然後通過這些特定的互動點來通過一些特定的規則（也就是協議）來進行資料的互動。測試的重點是要檢查資料的交換，傳遞和控制管理過程，以及系統間的相互邏輯依賴關係等。

　　簡單的說就是，通過URL像伺服器或者其他模組等，傳輸我們想傳輸的資料，然後看看他們返回的是不是我們預期想要的。

介面測試都有哪些型別？

　　介面一般分為：程式內部介面，系統對外介面

　　程式內部介面：方法與方法之間，模組與模組之間的互動，程式內部丟擲的介面。比如bbs系統，有登入模組，有發帖模組等等，那麼你想發帖，就必須要登入，那麼這兩個模組就得有互動，他就會丟擲來一個介面，供內部系統來呼叫。

　　系統對外介面：比如你要從別的網站或伺服器上獲取資源或資訊，別人肯定不會直接把資料庫共享給你，只會給你提供一個他們寫好的方法來供你獲取資料，你引用他提供的介面就能使用他寫好的方法， 從而達到資料共享的目的。

介面的分類：webservice介面 ，http api介面

　　webservice介面是走soap協議通過http傳輸，請求報文和返回報文都是xml格式的，我們在測試的時候都要通過工具來進行呼叫、測試。

　　http api介面是走http協議的，通過路徑來區分呼叫的方法，請求報文都是key-value的形式，返回報文一般都是json串，有get\post這兩個方法，這也是最常用的兩種請求方式。

json是一種通用語言，所有的語言都認識他。（json的本質是字串，他與其他語言無關，只是通過稍加工，就可以轉換成其他語言的資料型別，比如可以轉換成python中的字典，key-value的形式，可以轉換成java中的類物件，也可以轉換成javaScript中的原生物件等）

介面的本質和工作原理是什麼？

　　介面可以簡單的理解為是URL，工作原理就是URL通過get或post請求向伺服器傳送一些東西，然後得到相應的返回值，本質就是資料的輸入與輸出。

如何進行介面測試？

介面測試關注的是輸入資料和輸出資料，通過輸出資料來判斷介面業務邏輯和功能是否正常。

　　比如後臺的交易查詢介面，通過介面測試指令碼傳送查詢條件後，介面應該對該請求進行合法性的校驗，通過後再查詢條件，並通過一個查詢條件和業務邏輯拼接一個動態的sql，再到資料庫裡面去執行sql，查詢後響應的結果將是本次查詢的實際結果；我們在指令碼外再根據測試用例去編寫一個sql並執行，執行的是預期結果，預期結果跟實際結果進行比較，比較後如果結果是一致，那麼該介面的功能正常，否則就是介面存在問題。

　　我們在進行介面測試的時候，首先就得找到介面的說明文件，根據說明文件獲取輸入引數和輸出引數的名字以及取值要求，根據文件開發介面測試程式碼，通過程式碼向介面傳送構造的包含輸入引數的要求，並對介面響應回來的資料進行校驗。

怎麼做介面測試：

　　由於我們專案前後端呼叫主要是基於http協議的介面，所以測試介面時主要是通過工具或程式碼模擬http請求的傳送與接收。工具有很多如：postman、jmeter、soupUI、java+httpclient、robotframework+httplibrary等。

　　也可以用 介面自動化來實現，就是用程式碼實現，框架和UI自動化差不多，傳送請求用斷言來判斷。

為啥要做介面測試？

　　1、越底層發現的bug，它的修復成本越低。

　　2、由於前後端分離，前端需求改變，只要介面測好了，後端可以不用變。

　　3、檢查系統的安全性和文件性，前端傳參不可信，比如：京東購物，前端價格不可能輸入-1元，通過介面可以傳入-1元。

　　4、如今的系統複雜度不斷上升，傳統的測試方法成本急劇增加且測試效率大幅度下降，介面測試可以提供這種情況下的解決方案。

　　5、介面測試相對容易實現自動化持續整合，且相對於Ui自動化較穩定，可以減少人工迴歸測試人力成本與時間，縮短測試周期，支援後端快速發版需求，介面持續整合就是為什麼能低成本高收益的根源。

從安全層面來說：

（1）只依賴前端進行限制已經完全不能滿足系統的安全要求（繞過前面實在太容易）， 需要後端同樣進行控制，在這種情況下就需要從介面層面進行驗證。

（2）前後端傳輸、日誌列印等資訊是否加密傳輸也是需要驗證的，特別是涉及到使用者的隱私資訊，如身份證，銀行卡等。

介面測測試點是什麼？

　　目的：測試介面的正確性和穩定性；

　　原理：模擬客戶端向伺服器傳送請求報文，伺服器接收請求報文後對相應的報文做處理並向客戶端返回應答，客戶端接收應答的過程；

　　重點：檢查資料的交換，傳遞和控制管理過程，還包括處理的次數；

　　核心：持續整合是介面測試的核心；

　　優點：為高複雜性的平臺帶來高效的缺陷監測和質量監督能力，平臺越複雜，系統越龐大，介面測試的效果越明顯（提高測試效率，提升使用者體驗，降低研發成本）；

　　用例設計重點：通常情況下主要測試最外層的兩類介面:資料進入系統介面（呼叫外部系統的引數為本系統使用）和資料流出系統介面（驗證系統處理後的資料是否正常）；

　　PS：設計用例時還需要注意外部介面提供給使用這些介面的外部使用者什麼功能，外部

使用者真正需要什麼功能；

　　1、基本功能測試：

　　　　由於是針對基本業務功能進行測試，所以這部分是兩種測試重合度最高的一塊，開發同學通常所指的也主要是這部分的內容。

　　2、邊界分析測試：

　　　　在基本功能測試的基礎上考慮輸入輸出的邊界條件，這部分內容也會有重複的部分（比如業務規則的邊界）。

　　　　但是，前端的輸入輸出很多時候都是提供固守的值讓使用者選擇（如下拉框），在這種情況下測試的邊界範圍就非常有限，但介面測試就不存在這方面的限制，相對來說介面可以覆蓋的範圍更廣，同樣的，接口出現問題的概率也更高。

　　3、效能測試：

　　　　這個比較容易區分，雖然都需要做效能測試，但關注點確大不相同。App端效能主要關注與手機相關的特性，如手機cpu、記憶體、流量、fps等。而介面效能主要關注介面響應時間、併發、服務端資源的使用情況等。兩種測試時的策略和方法都有很大區別，所以這部分內容是需要分開單獨進行測試的，理論上來說這也是不同的部分。

　　綜論：

　　　　1、介面測試和app測試的活動有部分重複的內容，主要集中在業務功能測試方面。除此之外，針對各自特性的測試都不一樣，需要分別進行有針對性的測試，才能確保整個產品的質量。

　　　　2、介面測試可以關注於伺服器邏輯驗證，而UI測試可以關注於頁面展示邏輯及介面前端與伺服器整合驗證

　　　　3、介面測試持續整合：

　　　　　　對介面測試而言，持續整合自動化是核心內容，通過持自動化的手段我們才能做到低成本高收益。目前我們已經實現了介面自動化，主要應用於迴歸階段，後續還需要加強自動化的程度。

包括但不限於下面的內容：

　　a) 流程方面：在迴歸階段加強介面異常場景的覆蓋度，並逐步向系統測試，冒煙測試階段延伸，最終達到全流程自動化。

　　b) 結果展示：更加豐富的結果展示、趨勢分析，質量統計和分析等

　　c) 問題定位：報錯資訊、日誌更精準，方便問題復現與定位。

　　d) 結果校驗：加強自動化校驗能力，如資料庫資訊校驗。

　　e) 程式碼覆蓋率：不斷嘗試由目前的黑盒向白盒下探，提高程式碼覆蓋率。

　　f) 效能需求：完善效能測試體系，通過自動化的手段監控介面效能指標是否正常。

介面測試質量評估標準：

　　a) 業務功能覆蓋是否完整 b) 業務規則覆蓋是否完整 c) 引數驗證是否達到要求（邊界、業務規則） d) 介面異常場景覆蓋是否完整

　　e) 介面覆蓋率是否達到要求 f) 程式碼覆蓋率是否達到要求　g) 效能指標是否滿足要求 h) 安全指標是否滿足要求

介面測試都要掌握哪些知識？

　　①瞭解系統及內部各個元件之間的業務邏輯互動； ②瞭解介面的I/O（input/output：輸入輸出）；

　　③瞭解協議的基本內容，包括：通訊原理、三次握手、常用的協議型別、報文構成、資料傳輸方式、常見的狀態碼、URL構成等；

　　④常用的介面測試工具，比如：jmeter、loadrunner、postman、soapUI等；

　　⑤資料庫基礎操作命令（檢查資料入庫、提取測試資料等）；

　　⑥常見的字元型別，比如：char、varchar、text、int、float、datatime、string等；

如何學這些技能？

　　①系統間業務互動邏輯：通過需求文件、流程圖、思維導圖、溝通等很多渠道和方式；

　　②協議：推薦《圖解http》這本書，內容生動，相對算是入門級的書籍，其他的還有《圖解tcp、IP》等；

　　③介面測試工具：百度這些工具，然後你會發現，好多的教學部落格、相關問題解決方案、以及一些基於工具的書籍，當然，選擇合適的書很重要；

　　④資料庫操作命令：學習網站（W3C、菜鳥教程）、教學部落格，以及一些資料庫相關書籍，入門級推薦：《mysql必知必會》、《oracle PL/SQL必知必會》等

　　⑤字元型別：還是百度，有句話這麼說：內事不決問百度，外事不決問Google。。。

如何獲取介面相關資訊？

　　一般的企業，都會由開發或者對應的技術負責人員編寫介面文件，裡面會註明介面相關的地址、引數型別、方法、輸入、輸出等資訊。

　　如果沒有，想辦法獲取（抓包）。

介面文件八要素：

　　封面：封面最好是本公司規定的封面，有logo，內容標題，版本號，公司名稱，文件產生日期；

　　修訂歷史：表格形式較好些，包括：版本、修訂說明、修訂日期、修訂人、稽核時間稽核人等；

　　介面資訊：介面呼叫方式，常用的GET/POST方式，介面地址；

　　功能描述：簡潔清晰的描述介面功能，比如：介面獲取的資訊不包括哪些；

　　介面引數說明：每個引數都要和實際中呼叫的一樣，包括大小寫；引數的含義言簡意賅的說明，格式，是string 還是int 還是long等格式；

　　說明部分，說明引數值是需要哪裡提供，並詳細說明引數怎麼生成的，例如時間戳，是哪個時間段的，引數是否必填，一些引數是必須要有的，有些是可選引數等；

　　返回值說明：

　　　　①最好有一個模板返回值，並說明每個返回引數的意義；

　　　　②提供一個真實的呼叫介面，真實的返回值；

　　呼叫限制，安全方面：

　　　　加密方式，或者自己公司一個特殊的加密過程，只要雙方採用一致的加密演算法就可以呼叫介面，保證了介面呼叫的安全性，比如常見的md5；

　　　　文件維護：文件在維護的時候，如有修改一定要寫上修改日期，修改人，對大的修改要有版本號變更；

其他相關知識

　　get請求，post請求的區別：

　　　　1、GET使用URL或Cookie傳參。而POST將資料放在BODY中。

　　　　2、GET的URL會有長度上的限制，則POST的資料則可以非常大。

　　　　3、POST比GET安全，因為資料在位址列上不可見。

　　　　4、一般get請求用來獲取資料，post請求用來發送資料。

　　　　其實上面這幾點，只有最後一點說的是比較靠譜的，第一點post請求也可以把資料放到url裡面，get請求其實也沒長度限制，post請求看起來引數是隱式的，稍微安全那麼一些些，但是那只是對於小白使用者來說的，就算post請求，你通過抓包也是可以抓到引數的。（唯一區別就是這一點，上面3點區別都是不準確的）

http狀態碼：

　　1、200 2開頭的都表示這個請求傳送成功，最常見的就是200，就代表這個請求是ok的，伺服器也返回了。

　　2、300 3開頭的代表重定向，最常見的是302，把這個請求重定向到別的地方了。

　　3、400 400代表客戶端傳送的請求有語法錯誤，401代表訪問的頁面沒有授權，403表示沒有許可權訪問這個頁面，404代表沒有這個頁面。

　　4、500 5開頭的代表伺服器有異常，500代表伺服器內部異常，504代表伺服器端超時，沒返回結果。

webservice介面怎麼測試：

　　它不需要你在拼報文了，會給一個webservice的地址，或者wsdl檔案，直接在soapui匯入，就可以看到這個webservice裡面的所有介面，也有報文，直接填入引數呼叫，看返回結果就可以了。

cookie與session的區別：

　　1、cookie資料存放在客戶的瀏覽器上，session資料放在伺服器上。

　　2、cookie不是很安全，別人可以分析存放在本地的cookie並進行cookie欺騙考慮到安全應當使用session。

　　3、session會在一定時間內儲存在伺服器上。當訪問增多，會比較佔用你伺服器的效能考慮到減輕伺服器效能方面，應當使用cookie。

　　4、單個cookie儲存的資料不能超過4K，很多瀏覽器都限制一個站點最多儲存20個cookie。

所以個人建議：

　　將登陸資訊等重要資訊存放為session，其他資訊如果需要保留，可以放在cookie中。