29、OSPF配置实验之被动接口
323
2023-01-01
接口测试工具权限(软件测试接口工具)
本篇文章给大家谈谈接口测试工具权限,以及软件测试接口工具对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。 今天给各位分享接口测试工具权限的知识,其中也会对软件测试接口工具进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:
如何做接口测试
1、可以使用postman软件进行接口测试,这里以较复杂的上传图片的接口为例进行测试,首先打开postman软件选择Post方式,输入后台接口调用地址。
2、然后填写Headers,注意这里的Headers部分不要写任何东西,如果之前是有Content-Type头信息, 那么就会上传失败。
3、接着填写Body,选择form-data,填写Key后台规定的接收文件的名称参数,格式选择为File,此时value会自动变成选择文件。
4、最后点击Send,可以发现下方返回了接口的响应,说明上传图片是成功的,这样简单的图片上传的接口测试就完成了。
接口测试-接口调不通
测试中发现接口调不通,该如何去排查?1.接口没有任何响应。接口无返回,比如浏览器一直转圈,返回一个空白页面
1.1检查接口IP是否正确。通过本机ping接口的IP,检查网络是否通畅
1.2检查接口的端口号是否正确。通过在本机telnet接口的IP和端口号,检查端口是否能连通
1.3检查项目是否启动或部署成功。找研发确认或者自己登陆到服务器上,通过PS命令检查项目的进程是否存在,然后用tail命令查看部署日志
1.4检查服务器防火墙是否关闭,如果因为安全或者权限问题不能关闭,需要找运维进行策略配置,开发对应的IP和端口号
1.5检查客户端(浏览器/测试工具),是否设置了网络代理,网络代理可能造成请求失败
1.6检查操作系统的host文件,是否绑定了一个错误的IP映射
2.接口有响应,但是返回了错误的HTTP状态码,需要根据不同的状态码确定具体原因
400:客户端请求错误,比如参数格式错误,如json字符串不合法
401:未授权,比如请求header里,缺乏必要的信息头,如token,auth等字段
403:禁止,常见的原因是用户的人账号没有对应的URL权限,还有就是项目所用的中间件,不允许远程访问,如apache
404:资源未找到,导致原因很多。URL写错了,URL后有空格,项目没有启动成功,请求协议不对,如http/https
405:方法不允许,常见的原因是请求方式不正确,比如get类型接口,使用POST方式去请求
415:不支持的媒体类型,常见原因是请求数据的类型和服务端支持的类型不匹配,比如json接口,需要添加一个信息头Content-type:application/json
500:服务器内部错误,出现这种情况,说明服务端内部报错了,需要登陆到服务器上,检查错误日志,根据具体的提示信息再进行排查
502/503/504(Bad Gateway/错误的网关、Service Unavailable/服务无法获得、Gateway Timeout/网关超时)
如果单次掉用接口报该错误,说明后端服务器配置有问题,或者服务不可用,挂掉了
如果并发压测时出现此错误,说明是后端压力太大,出现异常,此问题一般是后端出现了响应时间过长或者无响应造成的
接口测试403 forbidden nginx怎么解决
一、403 Forbidden原因/解决办法1
访问禁止目录浏览的目录;这是最常见出现的原因接口测试工具权限,由于用户的配置权限问题所导致的结果;某个你需要访问的目录给的权限不够。比如网站访问wwwroot/html/index.html接口测试工具权限,html目录权限就不够。
2
解决办法。设置所有父目录为755权限,设置文件为644权限可以避免权限不正确。
3
怎么设置权限接口测试工具权限?是用Linux登录工具或者是用工具winsrc工具登录对相应的文件夹右键设置权限最后点击“确定”。
END
二、403 Forbidden原因/解决办法
目录索引设置错误,这是也是很常见的问题。通常情况下,nginx会自动访问网站会先访问,index.html,indexhtm,index.php...先后顺序访问,如果没有文件,则自动返回403 Forbidden错误。
添加首页文件到index指令,常见的是index.php,index.html,index.jsp或者自定义首页文件。
如果自定义首页,可使用index代码跳转
END
三、主动设置导致的原因
1
网站设置了特定访问,比如制定IP访问,客户端等才能访问。用户访问只能被内网访问的文件,这种情况,需要网站管理员设置
什么是接口测试?
1接口测试的定义与分类,以下就是接口测试接口测试是测试系统组件间接口的一种测试。
主要用于检测外部系统与系统之间以及系统内部各个子系统之间的交互点。
重点测试数据的交换、传递和控制管理过程,以及系统间的相互逻辑依赖关系等等。
这要求对业务逻辑有一定程度上的理解,对数据流向有较好的定位。
接口测试般会用于多系统间交互开发,或者拥有多个子系统的应用系统开发的测试。
接口测试适用于为其他系统提供服务的底层框架系统和中心服务系统,主要测试这些系统对外部提供的接口,验证其正确性和稳定性。
接口测试同样适用于一个上层系统中的服务层接口,越往上层,其测试的难度越大。
接口测试实施在多系统多平台的构架下,有着极为高效的成本收益比。
接口测试天生为高复杂性的平台带来高效的缺陷监测和质量监督能力。平台越复杂,系统越庞大,接口测试的效果越明显。
接口测试的目的是测试接口,尤其是那些与系统相关联的外部接口,测试的重点是要检查数据的交换、传递和控制管理过程,还包括处理的次数。外部接口测试一般是作为系统测试来看待的。
不是所有的团队都可以在一个隔离的测试环境中进行测试工作的,因此使得对外部接口的测试显得困难。
我们应该确保较早地与相关的组织协调好并确定进行外部接口测试的方案。
有时候相关的组织只是人工的静态的审阅一次数据而并不真正的用这些数据来测试,这些都增加了实际测试执行中遇到的风险,但有些时候是可以避免的。
接口测试有的公司是归纳在集成测试里面,也有的公司会放在系统测试阶段,不过这个都没有什么区别,本质上接口测试就是通过某个功能模块对外暴露的一个接口地址传参进行测试。
一般来说接口分为如下三类:
A. 系统与系统之间的调用(如我们一般常见的分享内容到朋友圈或者是微信朋友时,微信会提供接口给这些需要用到分享的应用)上层服务对下层服务的调用(这个理解难度稍微有点大,在我们程序中功能是分层的,那么属于上层对底层服务的调用,以后能够有机会接触到代码或者更加稍微复杂点的接口测试就能够理解。举个例子,我们的程序框架分为三层,分别是web层:提供给用户请求的层次;feb迁至层:作为信息传递的中转站;service层:作为程序应用的核心,处理所有的请求
C.服务之间的调用(如添加一条数据时,会先调用数据查询的服务,查询该数据是否是重复数据)
不同类型的接口测试方法可能不一致,但总体来说不管是哪种类型,被测接口即为服务,测试手段为客服方,接口测试的目的就是:通过我们的测试手段,去验证满足其申明提供的功能。
2如何做接口测试
接口测试的原理:通过测试程序模拟客服端向服务器发送请求报文,服务器接收请求报文后对相应的报文做出处理然后再把应答报文发送给客户端,客户端接收应答报文这一过程(reques-response)。
接口测试的流程与功能测试有什么区别呢?从原则上以及流程上讲,是没有啥区别的,都同一套软件测试流程:需求讨论-评审需求-确定需求-产出接口定义-根据需求文档及接口定义设计测试用例(测试用例主要从业务场景,功能以及异常测试几个方面考虑)-评审用例-执行测试。
接口测试采用的最基本的就是黑盒测试,在这个测试过程中我们最需要关注的是,如何来设计测试用例,设计测试用例所采用的方法也是我们常所用的几大方法:等价类、边界值以及错误推测法、场景法。在设计测试用例之前,我们先来看看常见的接口文档形式。
这就是上图是一种比较规范的接口文档说明,包含了如下内容模块:接口的类型说明、接口地址、http请求方式、输入参数和请求接口后返回的响应结果。
接口测试编写测试用例,主要关注点是输入参数、输出结果以及内部业务逻辑是否正常‘,所以我梦设计用例也要从这几方面出发考虑:
a)输入参数测试:针对输入参数进行的测试,也可以说是假定接口参数的不正确性 进行的测试,确保接口对任意类型的输入都做了相应的处理:输入参数合法(不合法),输入参数为空,为null,输入参数超长等等;
b)接口是否满足了所提供的功能,相当正常情况测试,如果一个接口功能复杂时推荐对接口用例进行结构划分,这样子用例就有更好的可读性和可维护性;
c)逻辑测试:逻辑测试严格讲应为单元测试,单元测试应保持内部逻辑的正确性,可单元测试和接口测试的界限并不是那么清晰,所以我们也可以从给出的设计文档中考虑内部逻辑错误的分支情况和异常;
d)异常情况接口测试:接口实现是否对异常情况都进行了处理,接口输入参数虽然合法,但是在接口实现中,也会出现异常,因为内部的异常不一定是输入的数据造成的,而有可能是其他逻辑造成的,程序需要对任何异常都进行处理;
针对上面的注册接口,我们利用测试用例设计方法来编写测试用例,如下所示:
3接口测试的工具选择
可以进行接口测试的工具有很多,这里简单介绍几个:
loadrunner :一款商业性能测试工具,用来做接口测试,很好很强大。
jmeter :一款开源的性能测试工具,操作简单方便,既有jdbc request 操作数据库数据,也有http request 和 soap request 应对测试;
httprequester :火狐浏览器自带接口测试工具,插件中安装即可,界面简单明了,容易上手。
postman :谷歌浏览器的扩展工具,界面简洁,开发者比较常用的一款插件工具。
soapui : 开源测试工具,通过soap/http 来检查、调用、实现web service的功能/负载/符合性测试。
我们将在后面的教学中,重点讲解Jmeter这款综合性比较高的工具;
从功能测试到接口测试,原来的技能可以通用
一、什么是接口业务 安全测试
业务安全测试是根据业务需求,针对业务安全规则展开的系统 功能测试 。业务安全测试作为该系统功能测试的重要组成部分,在 接口测试 过程中同样适用。区别于系统 漏洞 扫描、 SQL 注入防范等 技术 安全测试,针对接口展开的业务安全测试更加关注程序逻辑本身对于保障业务规则安全所进行的检查、校验、控制等功能方面的测试,例如银行业务中针对客户信息有效性、账户信息一致性的检查等等。
二、为什么要做接口业务安全测试
顾名思义,业务安全测试的目的自然是为了防范业务风险,提高接口的业务安全性。之所以针对接口测试再次强调业务安全测试,就不得不提到一个众所周知的“零信任原则”。
所谓零信任原则就是后端系统对于前端提供的请求报文保持不信任。简单讲就是作为后台服务方,时刻保持一种“总有前台想要害朕”的“迫害妄想症”,认为前端送过来的报文都是不靠谱的。
当然并不是说前端的系统真的不靠谱,很多系统前台都针对业务规则展开了细致的检查、控制,这也是我们在进行系统功能测试过程中最常设计的测试场景。那么我们为什么还要在接口测试中针对业务安全再展开一次测试呢?那是因为前后端系统调用过程中,特别是对客服务系统前后端交互过程中涉及报文拼装、传输等环节,很可能被别有用心的“坏人”利用,对报文进行篡改,从而产生业务风险。在一些交易场景中后端系统又很难辨别接收到的报文是否被篡改,因此需要对输入信息进行必要的检查校验,以提高业务安全性——当然可以通过各种技术手段对报文进行防篡改控制,这是技术安全层面的内容,这里不再展开。
在业务安全测试过程中,我们经常提到的就是“越权访问”。
举个例子,一个用户登录系统之后查询自己的账户信息,这是一个正常流程。如果这个过程中,用户通过篡改报文将自己的账号更换为其他人的账号,从而获得了其他人的账户信息,这就是越权访问中的“水平越权”。即用户利用系统缺陷访问了其他相同权限用户的私有数据。
与之相伴的还有“垂直越权”,即用户通过身份冒充等方法获取了诸如管理员权限等高于自身级别访问能力得越权。
三、怎么做接口业务安全测试
1.需求分析
既然是业务安全测试,“业务” 需求分析 是必不可少的。同系统功能测试一样,针对接口的业务安全测试也要我们根据业务需求提炼业务规则、梳理权限要求、设计测试场景。但由于接口的抽象性,我们还需要另一个十分重要的资料来帮助我们设计测试案例,那就是接口设计文档。
接口设计文档,一般应包括以下几部分内容:
·接口功能简介
对接口基本功能的简单介绍。
·输入输出参数说明
这部分内容包括了接口参数的字段类型、长度、取值范围等信息,是我们使用边界值等方法设计案例的重要信息来源。
同时还有一个接口设计原则需要我们重点关注,即“最小必需”原则。这里的最小必需原则可以从两方面去理解。一方面,就接口的输入来说,就是尽量少的从前端特别是依靠用户录入的方法获取输入信息。这一点是同前面提到的“零信任”迫害妄想症一脉相承的——录入的东西不靠谱,能通过后端系统从 数据库 里获取的就不要前台录入。另一方面,接口的输出在满足需求的情况下尽量减少冗余信息,从而避免不必要的信息暴露。是否满足最小必需原则也是我们在进行接口业务安全测试的时候需要关注的。
· 接口功能规则描述
这里应该描述了接口的主要功能、业务规则等,是我们设计场景案例的重点参考。
·错误信息描述
在进行接口业务安全测试时,为验证各种业务规则和权限控制,反向案例会占据很大比例。因此报错信息的描述是我们应该十分关注并需要在测试过程中同开发持续交流的内容。毕竟我们怎么知道案例预期结果里我们想要的报错信息就是我们想要的呢?哈哈。
2.案例设计
总结上面的描述,接口业务安全测试案例的设计可以从以下几方面着手:
·验证正向功能是否符合预期。
·边界值、等价类等方法对于接口参数的边界值、异常值进行测试,验证接口的容错能力。
·根据业务规则设计相应的反向案例,检查接口是否具备对应有效的控制逻辑。
·设计越权案例,检查身份校验、权限控制相关检查是否完备。
3.测试工具
针对接口测试,当下有Postman、 Jmeter 、Selenium等一众报文及 自动化测试 工具可供选择,可以根据需要和习惯选取。
四、谁来做接口业务安全测试
接口业务安全测试应该由谁来执行呢?让我们从两个方面来看这个问题:
接口消费方 vs 接口服务方
作为调用接口的消费方,应该对接口提出明确的功能需求,就像业务人员向开发人员提出系统功能需求一样。因此消费方在测试过程中更关注接口功能是否满足需要。
作为提供接口的服务方,提供的接口不光要满足服务方的功能需求,还应在输入合法性、业务规则、权限控制、身份认证等方面进行相应校验,提高接口的业务安全性。
因此从系统层面来看,接口业务安全测试应该是由服务方来完成的。
测试 vs 开发
在一个项目流程中,提到接口测试,往往联想到模块逻辑层面的调度调试,想到 单元测试 ,是开发者的工作。然而,我们这里谈到的接口业务安全测试,是站在业务规则的视角针对接口展开的功能测试。接口业务安全测试同单元测试的区别就如同系统功能测试和集成测试的区别一样,测试和开发的关注点是不同的。因此接口业务安全测试和接口单元测试是不能相互替代的。
另一方面,为提高接口业务安全质量,在接口设计上也需要开发多动些脑筋。比如接口的“最小必需”原则,就应该在接口设计阶段予以考虑,并同测试保持沟通。如果等到交付测试才思考这个问题,往往木已成舟,修改难度较大了。
当前,随着软件系统架构、技术的不断升级优化,对于 系统测试 环节的要求也越来越高,系统功能测试、系统 性能测试 、技术安全测试、业务安全测试、接口测试等等划分愈发精细,不断考验着我们测试人员的能力与智慧。
关于接口测试工具权限和软件测试接口工具的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。 接口测试工具权限的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于软件测试接口工具、接口测试工具权限的信息别忘了在本站进行查找喔。版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
暂时没有评论,来抢沙发吧~