分类标签归档:接口测试
2023年5月记录,分类「安全测试」。内容按测试执行视角整理,尽量把背景、操作和验收口径讲清楚。
OWASP API Security Top 10 2023 我不会逐条照搬,而是把它映射到当前系统的用户、租户、对象和接口类型上。
对测试来说,最后要落到可复现、可验证、可交接,文章也是按这个思路写的。
API1: 对象级授权
API4: 资源消2023年3月记录,分类「接口测试」。这篇按当时的测试现场整理,重点放在目标、动作和可复用的检查点。
Mock Server 不是为了逃避真实联调,而是在下游未完成、异常场景难构造时,先把前端和主流程推进起来。
我更关注它在真实提测流程里怎么落地,而不是单独演示一个命令或脚本。
{
"code": 0,
"data": {&quo2023年2月记录,分类「持续集成」。这里不追求大而全,主要记录一个测试点从发现到落地的过程。
GitLab CI 跑接口自动化,我先做最小闭环:拉代码、装依赖、跑用例、留报告。复杂能力后面再加,先保证失败有人看。
这类问题如果只写结论,过一段时间就很难复用,所以我把判断依据也留了下来。
api-test:
script:
- pyt2022年12月记录,分类「接口测试」。内容按测试执行视角整理,尽量把背景、操作和验收口径讲清楚。
年底做接口巡检,我不会把所有接口平均扫一遍,而是优先看高频、资金、权限、导出、批量操作这些风险更高的接口。
我当时想确认的不是工具能不能跑,而是这个点能不能稳定地变成测试资产。
接口分级: P0资金 / P1核心流程 / P2普通查询
巡检维度: 调用量、缺陷数、告警数、最近变更
2022年10月记录,分类「服务器运维」。这篇按当时的测试现场整理,重点放在目标、动作和可复用的检查点。
这次接口超时一开始被怀疑是应用线程池不够,后来从慢日志看到某个列表查询扫描了几十万行。问题不复杂,但定位顺序很典型。
记录这篇的目的,是让下次遇到同类问题时少走一轮弯路。
EXPLAIN SELECT * FROM orders WHERE use2022年4月记录,分类「postman」。这里不追求大而全,主要记录一个测试点从发现到落地的过程。
Postman 很适合联调,但变量乱了也很容易把人带坑里。我整理这篇,是为了让集合可以在本地、测试环境、预发环境之间稳定切换。
记录这篇的目的,是让下次遇到同类问题时少走一轮弯路。
pm.environment.s2022年2月记录,分类「接口测试」。内容按测试执行视角整理,尽量把背景、操作和验收口径讲清楚。
最开始我写接口脚本就是 requests.get/post 到处飞,能跑,但维护很痛。接口多了以后,鉴权、超时、日志、重试、断言都重复,所以我把它收敛成一个小客户端。
这类问题如果只写结论,过一段时间就很难复用,所以我把判断依据也留了下来。