【史上最全】接口测试+接口自动化测试总结（一）

---

前言

1、接口自动化测试概述

什么是接口测试：

前后端不分离：淘宝网站（响应的数据在页面，访问响应的数据是html的）返回的是一整个html（做接口难，需要解析数据，因为返回的是整个html代码）

前后端分离，前端和后端通过api（接口交互），返回的只是数据本身（App可能并不需要后端返回一个HTML网页）（市面上主流项目前后端分离走json格式的）
发请求以json数据格式返回的，通过api接口协议前后端进行交互的

2、前端页面

安卓或者ios app，网页统层为前端展示（数据展示和用户的交互）,
前端框架：html，js，css，vue（展示漂亮），nodejs

3、后端

后台数据处理，校验，下订单等等业务处理（c语言，c++，java（大型都走java），go，python）

4、前端和后端的数据交互（接口）通过接口

有些问题前端可能屏蔽，但是后端没有做限制，校验都没有做的，绕过前端，抓包发请求的方式攻破后端，项目可能出现问题

5、接口的概念

接口是应用程序之间的相互调用
接口是实体或者软件提供给外界的一种服务
软件接口：api，微信提现调用银联的接口实现数据交互

一种是内部接口：
1）方法与方法之间的交互
2）模块与模块之间的交互

一种调用对外部包装的接口
web接口：http，https，webserver（目前大多做web接口）
应用程序接口：soket接口　　走的tcp/ip协议的
数据库接口：

6、常用的接口方式（协议）

1）webservice ：走soap协议通过http传输，请求报文和返回报文都是xml格式的，xml格式（soapui抓包）老项目（政府和银行）
还要解析数据，麻烦，而且速度可能有降低，通信比较严格

2）http协议：超文本传输协议（百分之70-80都走的http协议）　　get post delete put四种主要的请求方式

3）https协议：并非是应用层的一种新协议，只是http通信接口部分用ssl和tls协议代替而已

7、什么是接口测试

项目需需求
案例：一个登录接口
场景：产品上规定用户名6-10个字符串下划线
测试人员在前端做了校验，通过
后端开发人员没有做校验
风险：直接抓包取篡改你的接口，然后绕过验证，通过sql注入直接随意登录
危害：公司损失
接口测试是市场的主流需求

8、接口测试目标

可以发现客户端没有发现的bug，（隐藏的bug）（提交订单，前端屏蔽了后端没有，可以随便乱填的）
及早爆出风险（保证质量正常上线）
接口稳定了，前端随便改
最重要加内存系统安全性，稳定性

9、接口自动化测试概叙（怎么做） （接口跑的是协议层。ui定位的是元素）

1）项目业务（了解项目业务）
2）接口文档（api文档）
3）接口用例
4）自动化脚本（根据接口文档和接口用例）
5）pytest框架　　重点
6）调试执行　　 重点
7）allure报告
8）结果分析
9）持续集成

10、fiddler（抓包工具的使用）

fidder的使用技巧（能抓包，查看抓包数据）：
能抓取https要设置证书：（免费的，开源的，能抓很多对应消息，app的也可以）

fidder是一款免费，灵活，操作简单，功能强大的http代理工具，是目前最常用的http抓包工具之一

可以抓取所有的http/https包，过滤会话，分析请求详细内容，伪造客户端请求，篡改服务器响应，重定向，网络限速，断点调试等功能

fiddler的工作原理：
正向代理（正向代理服务器，通过浏览器发送请求以前是直接发给服务器，fidder转发（代理服务器），浏览器请求发给fidder代理服务器，fidder代理服务器转发给服务器，服务器数据转发给fidder代理服务器，代理服务器发给浏览器

正向代理：
转发浏览器的请求和响应，抓包工具 对客户端透明

反向代理：
nginx——负载均衡的——性能　　一个服务器
tomcat db（现在用户级别很大，一个tomcat搞不定，需要帮手，三个tomcat分担流量（怎么协调加nginx–负载均衡））

浏览器发请求过来，不知道请求发给谁，请求量很大，通过nginx把请求分发到各个tomcat里面去，避免的一个tomcat承受不住

11、接口工具对比：（掌握fidder）

fidder：
免费的http查看工具，系统代理，工作在应用层
独立运行（是）
支持移动设备（是）
是否收费（否）

wireshark：
网络抓包，监听网卡，工作在网络接口层
独立运行（是）
支持移动设备（否）
是否收费（否）

httpwatch：
集成到IE，chrome中的网页数据分析工具
独立运行（否）
支持移动设备（否）
是否收费（基础版/专业版）

charles：
http代理，http监控，http反代理，查看http通讯查看信息工具
独立运行（是）
支持移动设备（是）
是否收费（是）

ByrpSuite：
http代理，用于工具web应用程序的集成平台
独立运行（是）
支持移动设备（是）
是否收费（是）

包含了很多工具，抓包，漏扫，爆破，黑客必备工具之
wireshark–底层，网络层–用这个

12、websocket（和http一样是传输协议）

websocket传输协议实时性强
使用场景： 聊天系统 股权交易 直播–部分业务

13、cookie详解

服务器发给客户端：请求的响应数据　　响应头:Set-cookies 　　本地存放cookies攻击

cookie缓存身份的概念：a请求发给服务器，a第一个请求没有带cookie，比如登录操作一开始请求不带cookie的，服务器响应把cookie放到响应头：set-cookie

浏览器拿到set-cookie会自己进行处理，然后第二个请求发出去，就会带上cookie进行校验

浏览器访问里面自己传递，但是接口请求是不会自己带cookie的，需要提取cookie

a响应头里面把cookie拿出来，放到一个变量，下一个b请求把cookie放到请求头

不同用户的cookie不一样的，不然会冲突的
cookie里面包含很多内容：但是最常见的是sessionid（会话id）
简单项目里面有cookie就差不多了，但是有的项目里面cookie里面带token-复杂点

cookie是分站点的，站点和站点之间的cookie是相互独立的
浏览器的cookie是保存在浏览器的某个位置

服务器端可以通过：响应头中的set-cookie参数，对客户端的cookie进行管理

浏览器的每次请求，都会把该站点的cookie发送给服务器进行匹配校验
实现登录：cookie+session配合使用

cookie不是只有登录，发送请求访问首页都有cookie。

cookie放在浏览器本地的（缓存里面），sessionid放在服务器的上
sessionid必须寄生在cookie里面，搭配cookie一起使用（sessionid值一般在cookie里面传过去的）

14、sessionid：翻译为会话id

sessionid就是会话id 身份验证-存放到 服务器
session是一个对象，是服务器产生的，保存在服务器中，
session有自己的管理机制，包括session产生，销毁，超时等
session id是session对象的一个属性，是全局唯一的，永远不会重复

15、cookie和sessionid合作流程（常见的方式）

1）快速理解
用户登录成功服务器创建session，返回给客户端，客户端浏览器把session保存到它的cookie里

2）过程描述
登录成功服务器立马创建session，并通过（响应头）中的set-cookie属性把session返回给客户端

浏览器把响应头中的set-cookie内容保存起来，存在浏览器自己的cookie中
以后浏览器每次发送请求时，都会把该站点的全部cookie封装到请求头中，传递给服务器

接口测试项目实战

下面是我整理的2025年最全的软件测试工程师学习知识架构体系图

一、Python编程入门到精通

二、接口自动化项目实战

三、Web自动化项目实战

四、App自动化项目实战

五、一线大厂简历

六、测试开发DevOps体系

七、常用自动化测试工具

八、JMeter性能测试

九、总结（尾部小惊喜）

人生最耀眼的不是站在聚光灯下的瞬间，而是黑暗中依然前行的勇气。当你觉得撑不住时，请记住：每个伟大的突破都藏在"再坚持一天"的决定里。你的脚步，正在创造属于自己的传奇！

别被暂时的风雨模糊了视线！那些让你流泪的磨练，正在雕刻更璀璨的未来。当别人选择放弃时，你的坚持就是胜利的宣言。向前奔跑吧，整个世界都在等待你的光芒绽放！