接口測(cè)試的測(cè)試點(diǎn)可分為以下幾大類，涵蓋功能、性能、安全及異常場(chǎng)景的全面驗(yàn)證：

1. 功能測(cè)試點(diǎn)

1.1 基礎(chǔ)功能驗(yàn)證

• 請(qǐng)求與響應(yīng)：

  • 輸入合法參數(shù)，驗(yàn)證返回狀態(tài)碼（如200 OK）和數(shù)據(jù)格式（JSON/XML）。

  • 檢查響應(yīng)字段完整性（必填字段是否存在）和數(shù)據(jù)類型（如字符串/數(shù)值）。

• 邊界值測(cè)試：

  • 參數(shù)為值、值（如分頁(yè)參數(shù)page_size=1和page_size=100）。

  • 空值或零值處理（如amount=0是否返回合理錯(cuò)誤）。

1.2 業(yè)務(wù)邏輯驗(yàn)證

• 數(shù)據(jù)一致性：

  • 數(shù)據(jù)庫(kù)寫入驗(yàn)證（如創(chuàng)建訂單后，DB中是否生成對(duì)應(yīng)記錄）。

  • 跨接口數(shù)據(jù)依賴（如支付接口依賴訂單接口的訂單狀態(tài)）。

• 業(yè)務(wù)規(guī)則：

  • 折扣計(jì)算（滿減、優(yōu)惠券疊加邏輯）。

  • 狀態(tài)機(jī)流轉(zhuǎn)（如訂單從"待支付"到"已完成"的合法跳轉(zhuǎn)）。

2. 參數(shù)測(cè)試點(diǎn)

2.1 參數(shù)合法性

• 必填參數(shù)缺失：

  POST /api/user  # 缺失username參數(shù) {"password": "123456"}

  • 預(yù)期：返回400 Bad Request，錯(cuò)誤信息提示缺失字段。

• 參數(shù)格式校驗(yàn)：

  • 郵箱格式（user@example.com vs user@.com）。

  • 日期格式（YYYY-MM-DD vs MM/DD/YYYY）。

2.2 參數(shù)組合測(cè)試

• 多參數(shù)交互：

  • 篩選接口：/api/products?category=electronics&price_min=100&sort=desc。

  • 驗(yàn)證各條件是否同時(shí)生效。

3. 異常測(cè)試點(diǎn)

3.1 錯(cuò)誤處理

• 非法輸入：

  • 字符串傳入數(shù)值型參數(shù)（如user_id=abc）。

  • 超長(zhǎng)字符串（如1MB的文本字段）。

• 異常場(chǎng)景：

  • 重復(fù)提交（冪等性驗(yàn)證）：連續(xù)兩次相同支付請(qǐng)求是否生成重復(fù)訂單。

  • 資源不存在：訪問(wèn)/api/users/9999（不存在的ID）。

3.2 容錯(cuò)能力

• 服務(wù)降級(jí)：

  • 依賴的下游服務(wù)超時(shí)（模擬返回504 Gateway Timeout）。

  • 驗(yàn)證是否返回友好提示或啟用緩存數(shù)據(jù)。

4. 性能測(cè)試點(diǎn)

4.1 基準(zhǔn)性能

• 單接口響應(yīng)時(shí)間：

  • 平均響應(yīng)時(shí)間<500ms（如登錄接口）。

  • 99%請(qǐng)求響應(yīng)時(shí)間<1s。

• 吞吐量：

  • 支持1000 TPS（每秒事務(wù)數(shù)）的訂單創(chuàng)建接口。

4.2 負(fù)載測(cè)試

• 高并發(fā)場(chǎng)景：

  • 模擬1000用戶同時(shí)（驗(yàn)證庫(kù)存扣減準(zhǔn)確性）。

  • 長(zhǎng)時(shí)間壓測(cè)（如2小時(shí)持續(xù)請(qǐng)求，檢查內(nèi)存泄漏）。

5. 安全測(cè)試點(diǎn)

5.1 與授權(quán)

• 未授權(quán)訪問(wèn)：

  • 未帶Token訪問(wèn)需鑒權(quán)的接口（預(yù)期401 Unauthorized）。

• 權(quán)限越權(quán)：

  • 普通用戶嘗試訪問(wèn)管理員接口（如/api/admin/users）。

5.2 數(shù)據(jù)安全

• 敏感信息泄露：

  • 響應(yīng)中是否暴露密碼明文、數(shù)據(jù)庫(kù)ID等。

  • HTTPS加密傳輸（禁用HTTP）。

• 注入攻擊：

  • SQL注入：/api/users?name=' OR 1=1--。

  • XSS攻擊：輸入<script>alert(1)</script>。

6. 兼容性測(cè)試點(diǎn)

6.1 協(xié)議兼容性

• HTTP/HTTPS：強(qiáng)制跳轉(zhuǎn)HTTPS。

• HTTP方法：

  • GET /api/resource vs POST /api/resource（預(yù)期405 Method Not Allowed）。

6.2 數(shù)據(jù)格式兼容

• 多版本API：

  • /v1/users 與 /v2/users 返回字段差異。

• 內(nèi)容協(xié)商：

  • 請(qǐng)求頭Accept: application/xml時(shí)是否返回XML格式。

7. 監(jiān)控與日志測(cè)試點(diǎn)

• 日志完整性：

  • 錯(cuò)誤請(qǐng)求是否記錄詳細(xì)日志（包括請(qǐng)求參數(shù)、IP、時(shí)間戳）。

• 監(jiān)控指標(biāo)：

  • Prometheus采集接口成功率（requests_total{status="200"}）。

8. 測(cè)試工具與自動(dòng)化

關(guān)鍵測(cè)試策略

1. 正向用例：覆蓋所有成功路徑（Happy Path）。

2. 反向用例：強(qiáng)制觸發(fā)所有錯(cuò)誤碼（如400/500系列）。

3. 混沌工程：模擬網(wǎng)絡(luò)抖動(dòng)、服務(wù)宕機(jī)，驗(yàn)證系統(tǒng)韌性。