Web API 的 Web 服務分為兩大類：SOAP 和 REST。

SOAP（簡單對象訪問協議）是 W3C 標準定義的標準協議，用于發送和接收 Web 服務請求和響應。?

REST（表述性狀態傳輸）是使用 HTTP 的基于 Web 標準的架構。與基于 SOAP 的 Web 服務不同，RESTful Web API 沒有官方標準。

以下是 API 測試需要了解的 10 個基本技巧：

了解API需求

在測試 API 之前，您需要回答以下問題以徹底了解 API 的要求：

• API 的用途是什么？

了解 API 的用途將為您準備好用于輸入和輸出的測試數據奠定堅實的基礎。此步驟還可以幫助您定義驗證方法。例如，對于某些 API，您將根據數據庫驗證響應；對于其他一些情況，最好根據其他 API 驗證響應。

• 應用程序的工作流程是什么；該流程中的 API 在哪里？

通常，應用程序的 API 用于操作其資源，包括讀取 (GET)、創建 (POST)、更新 (PUT) 和刪除 (DELETE)。了解 API 的用途將為您準備好用于輸入和輸出的 API 測試數據奠定堅實的基礎。

此外，此步驟還可以幫助您定義驗證方法。例如，對于某些 API，您將根據數據庫驗證響應；對于其他一些情況，最好根據其他 API 驗證響應。

例如，“創建用戶”API 的輸出將作為“獲取用戶”API 的輸入進行驗證。 “獲取用戶”API 的輸出可以用作“更新用戶”API 的輸入，等等。

指定API輸出狀態

在 API 測試中需要驗證的最常見的 API 輸出是響應狀態代碼。

驗證響應代碼是否等于 200 來決定 API 測試是否通過或失敗對于新的 API 測試人員來說很熟悉。這并不是一個錯誤的驗證。但是，它并不能反映API的所有測試場景。

在全球標準中，所有 API 響應狀態代碼都分為五個類（或類別）。狀態代碼的第一位數字定義響應的類別。最后兩位數字沒有任何類別或分類作用。

第一位數字有五個值：

• 1xx（信息）：請求已收到并繼續處理
• 2xx（成功）：請求被成功接收、理解并接受
• 3xx（重定向）：需要采取進一步的操作來完成請求
• 4xx（客戶端錯誤）：請求包含錯誤語法或無法滿足
• 5xx（服務器錯誤）：服務器無法滿足明顯有效的請求

然而，API的實際響應狀態碼是由構建該API的開發團隊指定的。因此作為測試人員，您需要驗證是否：

• 代碼遵循全球標準類
• 該代碼在需求中指定。

專注于小型功能性API

在測試項目中，總有一些API比較簡單，只有一兩個輸入，例如登錄API、獲取Token API、健康檢查API等。但這些API是必需的，被視為進入的“大門”更多 API。在其他 API 之前先關注這些 API 將確保 API 服務器、環境和身份驗證正常工作。

您還應該避免在一個測試用例中測試多個 API。如果出現錯誤，那就很痛苦了，因為你必須按順序調試 API 生成的數據流。讓您的測試盡可能簡單。在某些情況下，您需要調用一系列API來實現端到端的測試流程。然而，這些任務應該在所有 API 都經過單獨測試之后進行。

組織API端點

一個測試項目可能有幾個甚至上百個API進行測試。我們強烈建議您將它們組織成類別，以便更好地進行測試管理。它需要一個額外的步驟，但將極大地幫助您創建具有高覆蓋率和集成度的測試場景。以JIRA的API為例：

同一類別中的 API 共享一些通用信息，例如資源類型、路徑等。使用相同的結構組織測試將使您的測試可重用并可通過集成流程進行擴展。

利用自動化功能進行 API 測試

利用自動化盡可能快地加快 API 測試流程。以下是自動化 API 測試的一些顯著優勢：

• 測試數據和執行歷史記錄可以與 API 端點一起保存。這使得以后重新運行測試變得更加容易。
• API 測試穩定并小心更改。API反映了系統的業務規則。API 的任何更改都需要明確的要求；因此測試人員可以始終對任何變化保持警惕并及時調整。
• 與 Web UI 測試相比，測試執行速度要快得多
• API 測試被視為黑盒測試，其中用戶發送輸入并獲取輸出進行驗證。采用數據驅動方法的自動化（即在同一測試場景中應用不同的數據集）有助于提高 API 測試覆蓋率
• 數據輸入和輸出遵循一些特定的模板或模型，因此您只需創建一次測試腳本。這些測試腳本還可以在整個測試項目中重復使用。
• API 測試可以在軟件開發生命周期的早期階段進行。具有模擬技術的自動化方法可以幫助在開發實際 API 之前驗證 API 及其集成。因此，團隊內部的依賴程度降低了。

選擇合適的自動化工具

利用 API 測試自動化功能的進一步步驟是從市場上數百個選項中選擇大多數或一組合適的工具。以下是選擇 API 測試自動化測試工具時應考慮的一些標準：

• 該工具是否支持測試您的 AUT（被測應用程序）正在使用的 API/Web 服務類型？如果所選工具支持測試 RESTful 服務，而您的 AUT 使用 SOAP 服務，則沒有意義。
• 該工具是否支持您的 AUT 服務所需的授權方法？以下是您的 API 可以使用的一些授權方法：

這是一項重要任務，因為未經授權您無法開始測試 API。

• 該工具是否支持從 WSDL、Swagger、WADL 和其他服務規范導入 API/Web 服務端點？這是一個可選功能。但是，如果您有數百個 API 需要測試，這將非常耗時。
• 該工具是否支持數據驅動方法？這也是一個可選功能。然而，如果該工具具有此功能，您的測試覆蓋率將顯著提高。
• 最后但同樣重要的一點是，除了API測試之外，是否還需要進行其他類型的測試，例如WebUI或數據源？ API測試在數據源和UI之間的業務層進行。所有這些層都必須經過測試是正常的。支持所有測試類型的工具將是一個理想的選擇，以便您的測試對象和測試腳本可以在所有層之間共享。

選擇合適的驗證方法

響應狀態代碼說明請求的狀態，而響應正文內容是 API 通過給定輸入返回的內容。

API 響應內容因數據類型和大小而異。響應可以是純文本、JSON 數據結構、XML 文檔等。它們可以是一個簡單的幾個單詞的字符串（甚至是空的），也可以是一個一百頁的 JSON/XML 文件。因此，為給定的 API 選擇合適的驗證方法至關重要。

Katalon Studio提供了豐富的庫來使用匹配、正則表達式、JsonPath和XmlPath來驗證不同的數據類型。

一般來說，驗證 API 響應正文內容有一些基本方法：

將整個響應正文內容與預期信息進行比較

此方法適用于具有靜態內容的簡單響應。動態信息如日期時間、遞增的ID等都會給斷言帶來麻煩。

比較響應的每個屬性值

對于 JSON 或 XML 格式的響應，很容易獲取給定鍵或屬性的值。因此，這種方法在驗證動態內容或個體值而不是整個內容時很有用。

與正則表達式比較匹配

與驗證各個屬性值一起，該方法用于驗證具有特定模式的數據響應以處理復雜的動態數據。

每種驗證方法都有優點和缺點，并且沒有一刀切的選擇。您需要選擇最適合您的測試項目的解決方案。

創建積極和消極測試

API 測試需要進行正向和負向測試，以確保 API 正常工作。由于 API 測試被認為是一種黑盒測試，因此兩種類型的測試都是由輸入和輸出數據驅動的。對于測試場景生成有一些建議：

• 檢測呈陽性
  • 驗證 API 是否接收輸入并返回要求中指定的預期輸出。
  • 驗證響應狀態代碼是否按照要求返回，無論是返回 2xx 還是錯誤代碼。
  • 指定具有最少必填字段和最多字段的輸入。
• 陰性測試
  • 當預期輸出不存在時，驗證 API 是否返回適當的響應。
  • 執行輸入驗證測試。
  • 使用不同級別的授權驗證 API 的行為。

現場測試流程

強烈建議在測試過程實時時安排每天執行 API 測試。由于 API 測試執行快速、穩定且足夠小，因此可以輕松地以最小的風險在當前測試流程中添加更多測試。這只有使用具有以下功能的自動化 API 測試工具才能實現：

• 使用內置測試命令進行測試調度
• 與測試管理工具和缺陷跟蹤工具集成
• 與各種領先的 CI 工具持續集成
• 可視化日志報告生成

測試過程完成后，您每天都可以得到這些測試的結果。如果發生測試失敗，您可以檢查輸出并驗證問題以獲得正確的解決方案。

不要低估API自動化測試

API 測試流程非常簡單，主要分為三個步驟：

• 發送帶有必要輸入數據的請求
• 獲取具有輸出數據的響應
• 驗證響應是否按要求返回

API 測試中最涉及的部分不是發送請求或接收響應。它們是測試數據管理和驗證。通常，測試一些第一個 API（例如登錄、查詢某些資源等）非常簡單。 

隨著API的深入，測試任務變得越來越困難。因此，API測試任務很容易被低估。

在某個時間點，您會發現自己正在為測試數據和驗證方法選擇一個好的方法。這是因為返回的數據結構相似，但在測試項目中卻不相同。

此外，如果您應該逐個驗證 JSON/XML 數據，或者使用對象映射來利用編程語言的強大功能，那么選擇正確的方法將很困難。

強烈建議考慮 API 自動化測試一個真正的開發項目。它的結構應該是可擴展、可重用和可維護的。

原文鏈接：10 API Testing Tips for Beginners (SOAP & REST)

#你可能也喜歡這些API文章!

7 大 REST API 安全威脅

Service Mesh 和 API Gateway 關系深度探討

企業如何快速建立自己的專屬AI大模型？