headers
加密机制
使用加密正确的值:验证通过
使用加密错误的值:验证失败
token有效期
有效期内:有效请求
有效期外:无效请求
cookie测试
不带cookie:错误提示
带无效的cookice:错误提示
带有效的cookie:正常请求
body
参数测试
a.必填参数:
传参类型和内容是否都正确
传参类型错误,参数类型非法,例:int传string
参数值如果是枚举类型:覆盖全部枚举值、非有效值
必填参数数值范围错误,数值越界
参数是单位类型的:请求前后要一致;要明确单位的标准(吨、米、秒、元等); 如果是时间类型是时间戳还是直接是日期类型
必填参数为空格,前面,中间,尾部,特殊字符(%)
必填参数不传,必填参数全部为空,必填参数部分为空
必填参数重复:设计两个相同的键值对
必填参数组合,有些参数需要配合一起使用时需组合测试
b.非必填参数:
接口文档规范要求非必传的参数:非必填都为空;不为空
正向,所有参数均传正确
逆向:各参数组合不正确;数值范围错误,数值越界
某个参数为空,需要做判空处理
非必填参数少传一个,需要验证请求报文的完整性
c:异常场景:
改变请求方式:如:get变为post
参数为空:直接为空 “”、null、[]、{}
重复传参,字段唯一性校验,发送两次请求,接口需要做重复判断处理
必填项字段的校验 (缺失或不符合字段要求、类型要求)
非必须字段的校验 (缺失或不符合字段要求、类型要求)
该接口异常(挂掉),是否对业务有重大影响,有影响的如何保证接口稳定性,添加必要的监控
接口调用方是否有对接口异常(挂掉)的处理,保证接口挂掉后,接口调用方有兼容处理
响应部分
返回报文:字段完整性验证:code;data;msg等字段
校验code码是否与场景一致;提示信息是否合理
对应入参应验证相对应的数据返回
覆盖错误码
覆盖接口文档中提供的错误码
接口安全测试
越权:
(1)越权的类型:水平越权(相同权限下不同的用户可以互相访问);
垂直越权(使用权限低的用户可以访问到权限较高的用户)
(2)越权的方式:GET传参越权、 POST传参越权、Cookie传参越权
重放:如同一查询请求发送多次;服务端有防重放机制时,只有第一次会成功,后面的请求都会拒绝;若无,正常请求
接口升级测试
如果改动较小时:比如对字段的属性值变动;只针对此字段值做响应的验证测试
改动比较大时:比如填加/减少新必填字段;要确认改动范围,要通知所有接口调用方,测试覆盖所有调用方的内容,会涉及到对老数据的兼容问题--数据治理
如果是增加返回code,兼容旧版本即可.
接口性能测试
根据需求人员要求是否开展
