一、API 測試的基本步驟
通常來講,API 測試的基本步驟主要包括以下三大步驟:
1、准備測試數據;
2、通過通用的或自己開發的API測試工具發起對被測API的request;
3、驗證返回結果的response。
常用的API測試工具有命令行工具cURL、圖形界面工具Postman或SoapUI,支持API性能測試的JMeter等。
二、API復雜場景舉例
通過使用基礎的測試工具,可以做簡單場景的API測試;而項目進行過程中,為了解決實際的一些問題,我們會設計更加復雜的測試場景,下面列舉幾個實際項目中的典型場景。
場景一:API串聯調用
以協議支付為例,我們知道,三方公司接入網聯后,用協議支付取代代扣,而協議支付的流程中需要用戶輸入銀行返回的驗證碼完成綁卡。從接口層面上看,順序是先調用協議簽約API,返回狀態成功且獲取到短信驗證碼后,再使用此短信驗證碼作為輸入參數調用代扣API。協議簽約和代扣兩個API是順序調用,而且在兩次調用中間有獲取手機上的短信驗證碼,這些過程都需要通過程序自動化實現以提高效率。
場景二:API接口加密
為保證API接口安全,系統間和系統內模塊間互相訪問需要進行加密處理,常用的加密方式有DES、AES、RSA、MD5等,各系統的加密方式並不一樣(接口調用方和接口提供方約定好即可),意味着API測試需要支持多種自動化加密方式程。某些系統還會返回加密的響應報文,也需要識別並解密。
場景三:異步API測試
異步API指請求發出后后收到一個同步響應,但並不是最終處理結果,最終結果通過回調或者主動查詢獲得。對於這樣的API,同步響應的驗證只是第一步,后續還得繼續驗證DB中的值、MQ中的值、以及異步回調是否成功等。對於異步回調,我們可以模擬回調地址來驗證成功與否;而對於主動查詢,我們就得通過查看DB中的狀態值來驗證了,但是查詢到結果的時間點不確定,幾分鍾到幾小時都有可能,這就得有一個定時DB查詢任務去驗證。
場景四:API測試中的外部依賴
APIA調用APIB且B不可用,此時如何測試APIA需要考慮。比如支付系統對三方支付通道、對銀行的依賴,並不是所有的三方都支持測試環境,解決此問題的核心思路是搭建MockServer,而且盡量做到通用性,我們開發了一套Mock系統 -aMock,通過頁面錄入接口信息,保存在數據庫內,通過Nginx訪問配置好的Mock接口,后台統一處理請求信息,然后通過URL和報文特性去匹配特定的響應信息。
三、API測試平台
我們的API測試平台是要基於業務場景的,即要支持各業務的共性需求,又要針對不同業務的個性特點加以開發來豐富API測試能力;而且,對用例也要有很好的規划,結果有清楚的展示,測試平台架構如下圖:
BIT:業務接口測試(BusinessInterfaceTest)
SUT:被測系統(SystemUnderTest)
TestCaseManagement:測試用例管理,包括從測試用例到測試用例集,再到測試任務的數據關系的建立和維護。測試用例是最小單位,測試用例集是從某一維度對用例進行的歸集,測試任務即測試執行,可立即觸發也可定時執行,只能執行測試用例集。
Util:工具類封裝,主要提供數據加解密,數據類型轉換,配置文件讀寫,數據字典的緩存服務等。
Validator:接口響應字段和數據庫字段的驗證封裝。
RiskManagement:風控處理,因為會涉及支付真實資金,需要內置風控規則來保證資金安全,風險可控。
Timer:定時任務服務,包括
-
串聯API用例中,前置用例的狀態判斷;
-
異步API的數據庫校驗;
-
超時API用例的失效狀態判斷;
-
定時執行的任務計划。
MockServer:用例依賴的外部系統Mock服務。
Portal:API測試平台門戶網站,包括測試用例的錄入,維護,測試任務的執行,結果查看,導出等都通過門戶進行操作。
DB:存儲測試用例數據以及相應的測試任務、測試報告數據,還有項目配置等。
目前API測試平台上各項目維護用例總結1200多條,以回歸用例為主,且還在不斷增加中,隨着用例的不斷添加,平台也歷經了一系列優化,下面就談談這個過程中的一些思考。
四、測試數據准備
對於大量API用例的執行,需要數據驅動測試,也就是說可以將測試數據和測試代碼分離解耦,這樣便於測試數據的維護同時也保證了數據的准確性,用例設計格式是這樣
<accountName>${accountName}</accountName>
<accountNo>${accountNo}</accountNo>
<identNo>${identNo}</identNo>
幾個關鍵數據節點由DataProvider提供,為了增加測試覆蓋度,數據庫相似的測試數據有多條,比如多條四要素(銀行卡號、手機號、身份證號、姓名)數據,當大量用例需要讀取時,可采用緩存方式存儲並讀取到cList里面,通過循環遍歷,使每條測試數據都可以被均勻讀取,下面是替換關鍵數據節點的一段代碼,將cList數據依次賦給對應變量。
五、測試執行的邏輯控制
很多情況下的測試是場景化API測試,涉及用例的順序調用。如下圖,“簽約-成功-kftn-協議”依賴於“簽約-成功-kftn短信”的執行;在添加用例時配置好關聯關系。
執行時,會根據用例屬性將此兩條依據有無前置條件划分為兩類,分別存放於兩個list里,無前置條件的用例可以馬上執行,有前置條件的用例,設置TestStatus為0,等待定時任務輪詢觸發執行。分類執行代碼如下圖
定時任務每分鍾執行一次,下面一段是判斷前置API的執行狀態,只有“0000”代表成功,當前API才能執行,執行時,需要讀取前置用例的結果數據並傳入;如果前置API失敗,則停止任務執行,多條API用例順序執行也是同樣的道理;即使有外部依賴的用例,比如短信驗證碼,我們也可以通過寫一段手機APP程序自動上傳短信驗證碼到服務器,然后觸發延遲獲取驗證碼,得到后通過DB記錄用例執行的狀態和結果,並傳給下一個API使用,就完成了多用例的順序執行。此外,測試任務的執行封裝成restful接口,可以更加靈活地和目前團隊正在開發中的CICD系統結合一起。
六、測試結果的驗證
通過分析業務,API的結果校驗大致分為兩種類型,響應校驗和數據庫校驗。響應校驗是針對response報文字段的校驗,可精確匹配也可通過正則表達式模糊匹配;數據庫校驗是基於定時任務的,需要在用例里面根據約定格式設置校驗方法,比如下面的sql檢驗條件,會在准生產環境通過指定單號以及其他條件去查詢返回字段,並判斷status是否為7,從而判斷用例是否成功。
PreOnline.3|,|SELECTtb.outer_batch_no,tb.status,bs.send_statusFROM bs_outpay.trans_batchtbleft joinbs_outpay.es_business_sendbsontb.business_batch_no=bs.entity_uuidandbs.entity_status<>2 WHEREtb.outer_batch_noin (?) order bytb.CREATED_TIMEDESC|,|{"status":"7"}
用例狀態分為成功、失敗、處理中、超時四種狀態,分別通過配置相應SQL查詢條件去映射,成功和失敗是終態,處理中則是需要定時任務繼續查詢,超時,是我們內部設定的一個狀態,目前是超過一個小時未返回終態設為超時,此API用例失效並報警,需要人工參與查看。所有這些規則都是在用例建立和編輯的時候添加的,如下圖,一條用例包括了響應校驗(值校驗、key校驗)和數據庫校驗,通過這種比較靈活的設計,基本能夠滿足復雜API測試場景。需要指出一點是,很多應用不允許外部測試平台直接訪問數據庫,我們的解決辦法是寫一個數據查詢服務部署在系統環境中,只提供查詢功能,並且有加密驗證保證通訊雙方(測試平台和數據查詢服務之間)可信。
通常來說,測試平台或框架可以從某種層面上理解為工具鏈的串聯,開發此平台的過程中,我們使用的技術棧有springmvc+herbinate做邏輯控制、amazingUI做用例管理、echart做結果展示,還使用Jenkins做任務調度等,用戶就是各業務線測試人員,他們不需要了解具體代碼的實現,但是需要對系統結構以及用例規則有很好的理解,這樣才能設計出符合測試場景的用例。
任何測試平台的設計還是要基於業務的,后續我們對API平台的推進策略是,繼續增加場景化功能以支持更多業務類型的測試,比如清結算系統中日終、日間的跑批任務,對賬文件的數據檢驗等,增加大並發能力並和性能測試工具相結合。
作者:孫鷹
來源:宜信技術學院