接口测试工具怎么测试加密接口

Ⅰ 接口测试怎么才能做好

这个问题还是从需求、测试用例设计、执行来说吧。

首先要了解这个接口提供的服务的需求定义，那么我们就知道大概测试的结果是啥。同时理论上要先提供接口规范，方便后续测试，以及给调用者联调的一个文档约定。

根据测试的接口规范，基于业务进行场景设计，再结合边界值设计方法、等价类划分等常用设计方法进行用例设计。

1.设计的方向是常规的测试用例设计：协议规范测试、接口入参、接口出参。

协议规范测试：比如HTTP协议：URL地址、Header测试。不过一般情况下，默认调用者按照接口规范正常调用。这个不用过于详细测试。

2.接口入参：参数个数测试(注意是否必传字段），参数值测试（为空、正常值、非法值等，以及首尾有空格是否过滤）。

3.接口出参：至少涵盖一条成功的响应和一条失败的响应，当然我们测试出更多错误码，我们的覆盖率也就更全面。

4.业务场景用例： 这个需要你对于这个接口的业务的了解程度，而且这是最重要的部分。

比如中间使用了缓存服务（第一次缓存没有，是不是直接读数据源，并存入缓存；第二次直接读取缓存是否正确）；

比如需要考虑请求外部的接口获取相应的信息的时间损耗（连接不上外部接口，外部接口下线了，外部接口响应太慢）；

1.需要你对接口协议有一定的了解，选择适当的开源工具（如postman）或者自己编写脚本进行模拟请求。

2.需要熟悉接口所使用的中间件等知识（比如redis、kafka、mysql数据库）。

3.需要模拟外部接口返回给你现在正在验证的程序的接口。（比如扣费业务，你不可能每测一个业务，就去调真实扣费）。

是web开发接口吗？建议使用Postman

一、什么是接口？

接口测试主要用于外部系统与系统之间以及内部各个子系统之间的交互点，定义特定的交互点，然后通过这些交互点来，通过一些特殊的规则也就是协议，来进行数据之间的交互。

二、 常用接口采用方式：

1、webService接口：是走soap协议通过http传输，请求报文和返回报文都是xml格式的，我们在测试的时候都用通过工具才能进行调用，测试。可以使用的工具有apipost、jmeter、loadrunner等；

2、http api接口：是走http协议，通过路径来区分调用的方法，请求报文都是key-value形式的，返回报文一般都是json串，有get和

post等方法，这也是最常用的两种请求方式。可以使用的工具有apipost、jmeter、loadrunner等；

三、前端和后端

前端：网站前端是对网页静态页面的设计，通俗的来说，就是我们肉眼能看的到的东西，当我们浏览网站的时候所看到的页面上的内容几乎都是属于前端，前端的工作就是网站页面，静态的页面是没有后端成分的，前端主要包括html和css外加js等一些样式和布局。

后端: 网站的后端就是动态网站的技术，比如网站上的一些注册登录和一些弹窗，这些都是后端的逻辑，常用的后端语言有php，jsp等，后端的数据库也包含myspl等，都是对后端进行存储数据。

四、 接口测试概念

接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等(通俗来说就是，检查业务逻辑是否满足业务需求，校验字段是否正常你实际结果是否满足预期)

五、 接口的组成:

a、接口说明

b、调用url

c、请求方法（getpostput等）

d、请求参数、参数类型、请求参数说明

e、返回参数说明

六、为什么要做接口测试，接口测试的目标

接口其实app和前端交互用的,所以好多人问，为啥做功能测试还要测接口，目标是啥不是多此一举吗?首先我告诉大家，这种想法是错误的

那么举一个例子:

例如一个登陆接口，例如产品上规定用户名6-10个字符数字下划线，但后端没做判断。但我们业务人员测试肯定验证，但只是前端做了校验，后端压根就忘了这个小需求.那么后果来了如果一个懂的直接抓包去篡改你的接口，然后绕过校验，通过sql注入直接随意登录。如果你这是一个下单业务，是不是给公司造成了很大损失

所以此时此刻接口测试目标来了:

1.可能发现客户端没有发现的bug(那么也叫隐藏bug)

2.及早爆出风险（保证质量正常上线）

3.接口稳定了，前端随便改

4.最重要检查系统安全性，稳定性

七、如何进行接口测试

1.使用接口测试工具进行测试，接口测试和接口文档生成工具apipost，接口测试和性能测试工具jmeter

2.接口状态码表示含义

例如:200(成功)/300（重定向别的地方）/400（请求语法错误）/500(服务器异常)

测试点:

B. 参数组合（传入不同值）

C. 接口安全(绕过验证/绕过身份验证/参数是否加密等)

D. 异常验证（输入异常参数边界值）

练

Ⅱ MeterSphere接口测试中使用beanshell脚本进行md5加密

import org.apache.commons.codec.digest.DigestUtils;

//导入org.apache.commons.codec.digest.DigestUtils;

String timeStamp = "${__time(/1000,)}";

//定义时间timeStamp=服务器时间;

String randomStr = "${__Random(11111111,99999999)}";

//定义时间随机数=8位1-9的随机数;

String tmp = timeStamp + randomStr + "xxxxx";

//定义tmp=时间timeStamp，8位随机数和密码xxxxx;

log.info("timeStamp:" + timeStamp);

//打印timeStamp;

log.info("randomStr:" + randomStr);

//打印randomStr;

log.info("tmp:" + tmp);

//打印tmp;

//String un = DigestUtils.sha1Hex(tmp);

//定义un=哈希sha1加密的tmp;

//log.info("un:" + un);

//打印un;

String signature = DigestUtils.md5Hex (DigestUtils.sha1Hex(tmp)).toUpperCase();

//定义signature==哈希sha1加密的tmp然后再进行md5加密后进行大写;

log.info("signature:" + signature);

//打印signature;

vars.put("signature", signature);

//打印signature;

vars.put("timeStamp", timeStamp);

//打印timeStamp;

vars.put("randomStr", randomStr);

//打印randomStr;

Ⅲ 如何做接口测试

1、可以使用postman软件进行接口测试，这里以较复杂的上传图片的接口为例进行测试，首先打开postman软件选择Post方式，输入后台接口调用地址。

Ⅳ 接口测试面试题，等你来看

1.你们公司的接口测试流程是？

接口测试我们是在xx项目做的，主要有xx接口，xx接口等

1.首先是从开发那里拿到API接口文档，了解接口业务、包括接口地址、接口方式、入参、出参、token鉴权，返回格式等信息。

2.然后使用postman或jmeter工具执行接口测试，一般使用Jmeter的步骤是这样的：

3.最后调试并执行用力，最后编写接口测试报告。

4.其实我们做接口的时候也碰到过很多的问题，都是自己独立解决的，比如返回值乱码（修改jmeter的配置文件为UTF-8编码方式），比如需要登陆后才能取得token鉴权编码并且这个鉴权码在下面的请求中需要用到（使用正则表达式提取器提取token的值等等。

2.简述cookie、session及token的区别

1.cookie数据存放在客户的浏览器上，session数据放在服务器上。而token是接口数据的鉴权码，一般情况下登录后才可以获取到token，然后在每次请求接口时需要带上token参数。

2.cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应到使用seesion，seesion会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面应当使用cookie。

3.可以将登录信息等重要信息存放为session；其他信息需要保存，可以放在coolie。

3.对于加密接口，如何进行测试？

在调用接口的时候，要搞清楚接口的加密方式是什么。

如果是对称加密，要先从开发哪里获取对称密钥，基于对称密钥可以加密请求数据，以及解密响应报文。

如果是非对称加密，先从开发获取服务器公钥和私钥，也要知道当前用户的公钥和私钥信息。以便完成接口的数据加密和解密。

4.接口测试执行中比对数据库吗？

肯定，因为接口返回值的数据来源于数据库，接口对数据的操作还要进行深层次的数据库检查！

5.如何分析一个bug是前端还是后端

这种情况很容易判断，先抓包看请求报文，对着接口文档，看请求报文有没有问题，有问题就是前端发的数据不对；

请求报文没问题，那就看返回报文，返回的数据不对那就是后端开发的问题。

6.谈谈你对HTTP协议的了解？

超文本传输协议，端口为80，特点（无记忆功能、快速）是由请求和响应两部分组成请求由请求头、请求行、请求正文组成；响应是由响应头、响应行、响应正文组成，之前我们公司的接口是采用https协议的。

httpshttp+ssl协议端口443面向安全的超文本传输协议。

7.get和post请求有什么区别？

get和post请求都是客户端向服务器提交的一种请求方式；

get是明文传输参数、倾向于请求服务器资源。比如打开网站；

post传输数据不可见，安全性高，倾向于向服务器提交数据，比如注册等。

8.依赖于第三方数据的接口如何进行测试

可以使用SoapUI等工具直接调用第三方数据接口的webservice,通过返回值来查看第三方数据的接口是否调用正常。

也可以利用一些工具来模拟第三方的数据返回，最大限度地降低对第三方数据接口的依赖。

9.接口测试中要注意的测试点有哪些？

接口中返回了图片地址，要手工去进行图片的测试（大小、内容）；

接口完成查询功能的时候，数据返回的排序显示；

10.接口执行测试返回结果比对哪部分？

之前必须要对比的就是返回状态码，其次再去对比返回其它关键内容。

11.做接口测试工作的意义是什么？

这个是开发性题目，面试官主要考察对测试的理解。

根据测试的金字塔模型来说接口测试是测试左移的最方便，最简单的测试，当然最厉害的测试是做白盒测试，这个是在接口测试之前，相对于单元测试。

12.用过抓包工具吗？如何使用？

之前在项目中用过fiddler抓包工具进行HTTP协议请求的抓取。

打开fiddler之后，默认浏览器配置了127.0.0.18888端口的代理，在fiddler设置好过滤策略后，打开需要进行抓包的网站进行操作，就可以进行抓包。

13.接口测试中需要哪些注意点？

14.postman中设置环境变量有什么用？

在之前项目中，接口测试测试的环境有开发环境，测试环境等，为了测试的时候方便，就在postman设置环境变量，到时所有接口都引用该环境变量，这样就不用为了切换环境导致每次都去修改被测系统接口的主机地址；点击右上角环境变量管理按钮-新建环境变量，在脚本中使用{undefined{变量名}}去调用。

15.关联是什么？如何postman设置关联？

关联就是把上一个接口返回值的部分截取出来，作为下一个接口的参数，能让接口串联运行。

在postman中设置关联的步骤如下：

先通过正则表达式提取的方式或json取值的方式把下一个接口需要的信息从上一个接口截取出来；

使用设置全局变量的代码把取出来的值保存到全局变量；

在下一个接口中，使用{undefined{全局变量}}代替要替换的静态值。

Ⅳ fiddler抓包详细教程--接口测试

前言

Fiddler最大的优势在于抓包，我们大部分使用的功能也在抓包的功能上，fiddler做接口测试也是非常方便的。

对应没有接口测试文档的时候，可以直接抓完包后，请求参数，修改下就可以了。

Composer简介

点开右侧Composer区域，可以看到如下界面，就是测试接口的界面了

1.请求方式：点开可以勾选请求协议是get、post等

2.url地址栏：输入请求的url地址

3.请求头：第三块区域可以输入请求头信息

4.请求body：post请求在此区域输入body信息

5.执行：Execute按钮点击后就可以执行请求了

6.http版本：可以勾选http版本

7.请求历史：执行完成后会在右侧History区域生成历史记录

模拟get请求

1.在Composer区域地址栏输入博客首页： http://www.cnblogs.com/yoyoketang/

2.选择get请求，点Execute执行，请求就可以发送成功啦

3.请求发送成功后，左边会话框会生成一个会话记录，可以查看抓包详情

4.右侧history区域会多一个历史请求记录

5.会话框选中该记录，查看测试结果：

选中该会话，点开Inspectors

response区域点开Raw区域

Raw查看的是HTML源码的数据

也可以点WebView，查看返回的web页面数据

Json数据

1.有些post的请求参数和返回参数是Json格式的，如博客园的登录请求： https://passport.cnblogs.com/user/signin

2.在登录页面手动输入账号和密码，登录成功。

3.找到这个登录成功的会话，查看json数据如下图：

模拟post请求

1.请求类型勾选post

2.url地址栏输入对应的请求地址

3.body区域写登录的json参数，json参数直接上一步抓包的数据，如下图红色区域

4.header请求头区域，可以把前面登录成功后的头部抓包的数据过来

（注意，有些请求如果请求头为空的话，会请求失败的）

5.执行成功后查看测试结果：

–执行成功如第三所示的图，显示success=True

–执行失败如下图所示，显示

message=Invalid length for a Base-64 char array or string.

success=False

get请求（url详解）

前言

上一篇介绍了Composer的功能，可以模拟get和post请求，get请求有些是不带参数的，这种比较容易，直接放到url地址栏就行。有些get请求会带有参数，本篇详细介绍url地址格式。

url详解

1.url就是我们平常打开网络在地址栏输入的： https://www..com ,如下图，这个是最简单的url地址，打开的是网络的主页

2.再看一个稍微复杂一点的url，在网络输入框输入：上海悠悠博客园

3.查看url地址栏，对比之前的网络首页url地址，后面多了很多参数。当然最主要的参数是:wd=上海悠悠博客园（后面的一大串可以暂时忽略）。

4.那么问题来了，这些参数有什么作用呢？

可以做个简单的对比，在地址栏分别输入：

https://www..com

https://www..com/s?wd=上海悠悠博客园

对比打开的页面有什么不一样，现在知道作用了吧，也就是说这个多的”/s？wd=上海悠悠博客园”就是搜索的结果页面

url解析

1.以” https://www..com/s?wd=上海悠悠博客园”这个url请求的抓包为例

2.那么一个完整的url地址，基本格式如下：

https://host :port/path?xxx=aaa&ooo=bbb

http/https：这个是协议类型，如图中所示

host:服务器的IP地址或者域名，如图中2所示

port:HTTP服务器的默认端口是80，这种情况下端口号可以省略。

如果使用了别的端口，必须指明，例如：192.168.3.111:8080，这里的8080就是端口

path:访问资源的路径,如图中3所示/s (图中3是把path和请求参数放一起了)

？:url里面的？这个符号是个分割线，用来区分问号前面的是path，问号后面的是参数

url-params:问号后面的是请求参数，格式：xxx=aaa，如图4区域就是请求参数

&：多个参数用&符号连接

请求参数（params）

1.在url里面请求参数一般叫params，但是我们在fiddler抓包工具看到的参数是：QueryString

2.QueryString是像服务端提交的参数，其实跟params是一个意思，每个参数对应的都有name和value值

3.多个参数情况如下：

UrlEncode编码

1.如果url地址的参数带有中文的，一般在url里面会是这样的，如第二点里的wd=%E4%B8%8A%E6%B5%B7%E6%…

像看到%E4这种编码的就是经过url编码过的，需要解码就能看到是什么中文了

2.用urlencode在线编码/解码工具，地址： http://tool.chinaz.com/tools/urlencode.aspx

post请求（body）

前言上一篇讲过get请求的参数都在url里，post的请求相对于get请求多了个body部分，本篇就详细讲解下body部分参数的几种形式。

注意：post请求的参数可以放在url，也可以放在body，也可以同时放在url和body，当然post请求也可以不带参数。

只是一般来说，post请求的参数习惯放到body部分

body数据类型

常见的post提交数据类型有四种：

1.第一种：application/json：这是最常见的json格式，也是非常友好的深受小伙伴喜欢的一种，如下

2.第二种：application/x-www-form-urlencoded：浏览器的原生 form 表单，如果不设置 enctype 属性，那么最终就会以 application/x-www-form-urlencoded 方式提交数

3.第三种：multipart/form-data:这一种是表单格式的，数据类型如下：

4.第四种：text/xml:这种直接传的xml格式

json格式

1.打开博客园的登录页面，输入账号密码后抓包，查看post提交数据，点开Raw查看整个请求的原始数据

2.前面讲过post的请求多一个body部分，上图红色区域就是博客园登录接口的body部分，很明显这种格式是前面讲到的第一种json格式

3.查看json格式的树状结构，更友好，可以点开JSON菜单项

4.查看这里的json数据，很明显传了三个参数：

input1:这个是登录的账号参数（加密过）

input2:这个是登录的密码参数（加密过）

remember:这个是登录页面的勾选是否记住密码的选项，False是不记住，True是记住

x-www-form-urlencoded

1.登录博客园后，打开新随笔，随便写一个标题和一个正文后保存，抓包数据如下

2.如上图的这种格式，很明显就属于第二种了，这种类型的数据查看，在WebFrom里面查看了

3.上面红色框框的Query String是url里面的参数，下面红色框框的body部分就是这次post提交的body参数部分了。

WebFrom

1.为什么登录请求的WebFrom的body部分为空呢？

2.看上图红色框框的显示：这里只支持application/x-www-form-urlencoded这种格式的body参数，也就是说json格式的，需要在JOSN这一栏查看了。

Ⅵ 谈谈单接口测试

如果只是单个接口的测试还是归属于功能测试。

平时我们是怎么做接口测试的？
接口文档、接口文档，一定要看接口文档。
初学者做接口测试必须要先会一个工具，postman、fiddler、charles。后两者更多应用于抓包，但都可以使用。
也可以自己写一个接口请求函数，然后给返回的响应数据做断言。达到接口测试的目的。
一般做单接口测试我们是从这几个方面考虑：
1、通过性验证，在测这个接口之前必须保证这个接口是可用的，是通的，相当于冒烟测试。
2、请求接口参数组合传参，在正常规则内进行组合传参，请求参数各个字段值验证，参数是否必传。
3、请求接口顺序（绕过验证），例如，登录后才能下单购买，当未进行登录时，下单接口请求是不能成功的。
4、异常验证，必填项验证、字符类型、长度等等，就是不按照接口文档进行传参。
5、安全性，验证header，敏感数据加密等。
6、响应结果，各种场景下请求接口的返回结果，对应的结构体和参数。
7、响应时间，遵守1357规则，根据实际场景而定。
8、接口逻辑，提交多次接口、并发，业务逻辑等。

当然有些小公司为了赶工期或者其他各种原因是没有接口文档的，那么这样情况该怎么办？
一句话，没有接口文档很难搞，抓包看参数，先保证接口通过性验证，然后从开发和产品获取信息，决定对那些进行验证。

再说下怎么判断bug是前后端谁的问题？
接口请求参数有问题找前端，返回参数有问题先分析下具体问题，一般是找后端（常见的40X/50X），路径或者是服务器的问题。

Ⅶ MeterSphere接口测试中使用beanshell脚本进行参数哈希sha1加密

需求是这样的，token是从第三步接口进行产生的。通过脚本

import org.apache.commons.codec.digest.DigestUtils;

//导入org.apache.commons.codec.digest.DigestUtils包;

String sign = DigestUtils.sha1Hex ("${__time}${token}xxxxx").toUpperCase( );

//定义sign=服务器时间+token+固定密码xxxxx;然后.toUpperCase( )大写传出;

vars.put("sign", sign); 

//导出签名以第四条接口使用;

第4条case直接使用${sign}就可以使用上一步的sign进行加密

Ⅷ 如何使用WebSocket做接口测试

如果遇见了一个全新的协议，怎么从零开始，完成接口测试？以 WebSocket 为例。

WebSocket 协议在2008年诞生，2011年成为国际标准。现在所有浏览器都已经支持了。WebSocket 的最大特点就是，服务器可以主动向客户端推送信息，客户端也可以主动向服务器发送信息，是真正的双向平等对话。

WebSocket 的其他特点：

1. 建立在 TCP 协议之上，服务器端的实现比较容易。

2. 与 HTTP 协议有着良好的兼容性。默认端口也是80和443，并且握手阶段采用 HTTP 协议，因此握手时不容易屏蔽，能通过各种 HTTP 代理服务器。

3. 数据格式比较轻量，性能开销小，通信高效。

4. 可以发送文本，也可以发送二进制数据。

5. 没有同源限制，客户端可以与任意服务器通信。

6. 协议标识符是ws（如果加密，则为wss），服务器网址就是 URL。

· ws–>http（未加密） 无证书
· wss–>https（加密） 有证书

第一步：

很多时候第一反应向开发工程师求助，因为开发工程师基于新协议已经完成了接口开发，向开发工程师求助显然是最好的办法。找到一些学习脉络，包含了协议的说明文档、代码开发文档、实现代码等内容，了解协议的原理。向开发求助是个方法。

那么 WebSocket 用 Fiddler 怎么搞定？，其实主要就是修改了 Fiddler 中 Rules 下的 Customize Rules，如果感兴趣可以自己去搜一下。当面对陌生技术问题的时候，应该使用最熟悉的技术去尝试解决问题。虽然 Fiddler 截获 WebSocket 接口的办法，所截获的全部消息都在日志里面，根本无法操作。但是，可以借助 Fiddler 分析 WebSocket 的接口，一开始给 Fiddler 这款工具的定位一样，那就是通过它辅助分析我们的被测接口。处理HTTP、HTTPS，推荐用Fiddler。

但是在处理TCP,UDP 就用WireShark。Websocket是应用层协议，建立在 TCP 协议之上，服务器端的实现比较容易。因为应用层是在传输层的基础上包装数据，所以我们还是从底层开始了解Websocket到底是个啥?是如何工作的?

可以通过---- wireshark（网络封包分析软件）抓包工具抓到WebSocket接口

wireshark下载地址：https://www.wireshark.org/download.html

以下是python实现的websocket 接口连接。

Ⅸ 接口sign加密怎么做接口测试

对于接口测试来说，项目测试用例的重复运行首先是表现在单个测试用例的独立性方面的，也就是说，每一个测试用例的运行除了依赖被测对象和对应的数据库环境外，是不依赖于其他任何测试用例的，并且这个测试用例执行完毕后

Ⅹ 接口测试中的加密算法如何实现

加密实现对于测试而言，的确是件头疼的事情，毕竟大多数测试没有编码基础，即便有编程也是短板，要是实现加密算法的话，主要有两种方式:
1. 可以以纯编码的方式实现,比如使用 Java 或 Python等
2. 如果是测试工具的话，比如Jmeter，可以求助开发将加密算法导出为 jar 包，然后我们测试再在 Jmeter 中导入jar包，再调用类似于 BeanShell 取样器的组件，调用开发提供的加密函数(可以一定程度的减少代码量) 获得更多关于测试的知识，建议你去找视频学习一下，黑马程序员官网就有很多专业的视频，应该挺适合你的。