深入了解接口测试:方法、工具和关键考虑因素(二)

接口测试是软件测试中的一项重要工作,它涉及到系统与系统之间的交互点。接口可以是外部接口,也可以是内部接口,包括上层服务与下层服务接口以及同级接口。在接口测试中,我们需要确保接口能够按照预期的方式进行通信和交互,并且能够正确处理输入和输出数据。

1. HTTPS 的工作原理

我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。

客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤:

  1. 客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。

  2. Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。

  3. 客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。

  4. 客户端的浏览器根据双方同意的安全等级建立会话密钥,然后利用网站的公钥将会话密钥加密并传送给网站。

  5. Web服务器利用自己的私钥解密出会话密钥。

  6. Web服务器利用会话密钥加密与客户端之间的通信。

2. HTTPS的优点

尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:

  • 使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。

  • HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP协议安全,可防止数据在传输过程中被窃取、改变,确保数据的完整性。

  • HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

  • 谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。

3. HTTPS的缺点

虽然说HTTPS有很大的优势,但相对来说,它还是存在一些不足之处:

  • HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电。

  • HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响。

  • SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站一般不会用。

  • SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的是,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。

4. HTTPS和HTTP的区别

  • HTTPS协议需要到CA申请证书,一般免费证书较少,因而需要一定费用。

  • HTTP是超文本传输协议,信息是明文传输;HTTPS则是具有安全性的SSL加密传输协议。

  • HTTP和HTTPS使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

  • HTTP的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。

  • HTTP的URL参数在浏览器历史记录中保留,而HTTPS的参数不会被保留。

  • HTTP的参数传递有长度限制,而HTTPS没有。

  • HTTP比HTTPS更不安全,因为参数直接暴露在URL上,所以不能用来传递敏感信息。

  • GET请求的参数通过URL传递,而POST请求的参数放在请求体中。

  • GET请求产生一个TCP数据包,而POST请求产生两个TCP数据包。

5. Session与Cookie的区别

Session和Cookie是Web开发中常用的状态管理机制,它们在保存用户信息和维持用户会话方面有所不同。

  • 保存位置:Session数据保存在服务器端,而Cookie数据保存在客户端浏览器。

  • 保存方式:Session默认被存在服务器的一个文件里,可以手动设置存储位置;Cookie默认保存在客户端内存中,如果设置了过期时间就保存在硬盘中。

  • 依赖关系:Session依赖Cookie来识别sessionid,如果浏览器禁用了Cookie,Session也会失效,此时可以通过URL传递sessionid。

  • 安全

性:因为Session数据保存在服务器端,所以Session的安全性比Cookie高。

  • 尺寸大小:Session基本上没有大小限制,而Cookie保存的内容比较小,具体由浏览器决定。

  • 服务器性能:Session对服务器的压力会更大一些,而Cookie放在客户端,所以对服务器基本没影响。

6. TCP和UDP的区别

TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)是互联网协议套件中的两个主要传输层协议,它们有以下区别:

  • TCP是面向连接的协议,而UDP是无连接的协议。TCP在通信之前需要建立连接,而UDP不需要。

  • TCP提供可靠的服务,确保数据传输的可靠性和顺序,而UDP不保证可靠性,尽最大努力交付数据。

  • TCP面向字节流,将数据看作连续的字节流,而UDP是面向报文的,将数据看作独立的报文。

  • TCP有拥塞控制机制,会根据网络情况调整发送数据的速率,而UDP没有拥塞控制,发送数据不受限制。

  • TCP是一对一的通信,即一个发送方和一个接收方进行通信,而UDP支持一对一、一对多、多对一和多对多的通信。

  • TCP的首部开销较大,占用20个字节,而UDP的首部开销较小,只有8个字节。

7. 什么是TCP/IP?

TCP/IP是互联网协议套件,也被称为互联网通信协议族,是构建和组织互联网的基础通信架构。

TCP/IP协议族下的两个核心协议是TCP(传输控制协议)和IP(网际协议)。它们是在网络通信协议分层结构中的关键协议,被称为TCP/IP协议栈。

TCP/IP协议提供了点对点的链接机制,定义了数据的封装、定址、传输、路由以及在目的地如何接收等标准化过程。

协议栈按照不同功能将协议分层,每个层次实现不同的通信协议。TCP/IP协议族的各种协议根据其功能不同被归类到四个层次结构中,通常被视为是简化的七层OSI模型。

8. 常见的接口类型及API文档模板

常见的接口类型包括:

  • HTTP接口:基于HTTP协议的接口,是应用最广泛的网络协议之一,大多数基于浏览器/服务器架构的软件系统使用HTTP接口。

  • Web Service接口:系统对外的接口,根据提供的方法引用提供的接口,从而获取数据。

  • RESTful接口:描述了一种架构式的网络系统,基于标准HTTP方法和URL进行通信,支持系统间资源的交互。

常见的API文档模板包括:

  • Swagger

  • FlatDoc

  • RestDoc

  • API Blueprint

  • Slate

  • Miredot

9. Cookie的作用及测试点

Cookie是一种用于在客户端存储数据的机制,它具有简便性、可扩展性和可用性,可用于解决HTTP协议无状态的问题。Cookie的作用主要包括:

  • 会话管理:通过存储会话标识,实现用户状态的管理和跟踪。

  • 用户个性化设置:记录用户的偏好和设置,提供个性化的用户体验。

  • 购物车功能:在电商网站中存储用户选择的商品信息,方便用户进行购物。

  • 记住登录状态:在用户登录后,存储登录凭证,使用户在一段时间内免登录访问。

在进行Cookie测试时,可以关注以下测试点:

  • 禁止使用Cookie:测试在禁用Cookie的情况下系统是否能正常工作。

  • Cookie存储路径:检查Cookie存放路径是否与设置一致。

  • Cookie过期检查:验证存放的Cookie在过期后是否被自动删除。

  • 检查浏览器中Cookie选项:测试不同浏览器的Cookie选项,验证是否可以正常接受和存储Cookie。

  • 浏览器删除Cookie:通过浏览器的设置,测试是否能正确删除Cookie文件。

  • Cookie加密:验证在提交敏感信息时,数据是否能够正确加密。

  • Cookie保存信息:验证Cookie是否能正常保存和读取所需的信息。

  • 篡改Cookie:测试修改Cookie内容后,系统是否能正确识别和处理。

  • Cookie的兼容性:在不同类型或不同版本的浏览器中,测试Cookie文件的兼容性。

  • 刷新操作对Cookie的影响:测试刷新操作后是否重新生成或修改Cookie文件。

  • 检查Cookie内容存储是否完整正确:对加密的Cookie内容进行解密,检查是否按设计要求存储了相关的所有信息。

  • 检查Cookie的更新和添加:多次进行相同操作或设置,检查是否更新或添加了新的Cookie文件。

  • 统计功能验证:如果使用Cookie来统计次数或记录状态,验证统计功能是否正常工作。

10. 在接口测试中,为什么需要对HTTPS的工作原理有所了解?HTTPS在接口测试中有哪些重要作用和优势?

  1. 数据安全性:HTTPS使用SSL/TLS协议对通信进行加密,确保数据在传输过程中不被第三方获取、篡改或窃听。它通过使用对称加密、非对称加密和数字证书等技术,提供了更高级别的数据保护,保证了敏感信息的机密性和完整性。

  2. 身份验证:HTTPS可以对服务器进行身份验证,确保与预期的服务器建立连接。在接口测试中,这意味着可以验证接口的终端点是否为预期的合法服务器,避免了中间人攻击和伪造服务器的风险。

  3. 防止数据篡改:HTTPS使用消息摘要算法(如SHA)和数字签名,可以确保数据在传输过程中不被篡改。接口测试中,这保证了请求和响应数据的完整性,确保数据的一致性和准确性。

  4. 合规性和安全标准:使用HTTPS协议符合许多行业和安全标准的要求,如PCI DSS(支付卡行业数据安全标准)。在接口测试中,如果涉及到处理敏感数据或符合特定标准的场景,使用HTTPS可以确保符合合规性要求,并提供额外的安全层级。

  5. 排名提升和用户信任:谷歌等搜索引擎更倾向于将使用HTTPS加密的网站排名较高,因为它们提供更安全的用户体验。在接口测试中,如果接口涉及到公共网站或需要提升用户信任的场景,使用HTTPS可以提升网站的搜索排名并增加用户的信任度。

  6. 抗攻击能力增强:相比HTTP协议,HTTPS大大增加了中间人攻击的成本。HTTPS提供了更强的防护能力,可以抵御黑客攻击、拒绝服务攻击和服务器劫持等威胁。在接口测试中,这意味着可以更好地保护接口免受安全漏洞和攻击的影响。

  7. 兼容性和标准化:HTTPS是广泛使用的标准协议,与各种系统和平台兼容性良好。在接口测试中,使用HTTPS可以确保接口与其他系统的兼容性,并保证与行业标准的一致性。

总结

以上就是勇哥今天为各位小伙伴准备的内容,如果你想了解更多关于Python自动化测试的知识和技巧,欢迎关注我:公众号\博客\CSDN\B站:测试玩家勇哥;我会不定期地分享更多的精彩内容。感谢你的阅读和支持!


题外话,勇哥打算把新建的技术交流群,打造成一个活跃的高质量技术群。工作中遇到的技术问题,都可以在里面咨询大家,还有工作内推的机会。有兴趣的小伙伴,欢迎加我(记得备注是进群还是报名学习)👇👇👇****

👆****👆********👆长按上方二维码2秒,关注我


勇哥,10年落魄测试老司机,技术栈偏python,目前在一家超大型房产公司担任自动化测试主管,日常工作比较繁杂,主要负责自动化测试,性能测试、软件质量管理及人员管理。工作之余专注于为粉丝进行简历修改、面试辅导、模拟面试、资料分享、一对一自动化测试教学辅导等副业发展。目前已服务十多位小伙伴,取得高薪offer。

往期精选文章👇:

python-Threading多线程之线程锁
Pytest 快速入门
pytest 前后置操作详谈
接口自动化之测试数据动态生成并替换
requests模块该如何封装?
最通俗易懂python操作数据库
python正则一篇搞掂
接口自动化如何封装mysql操作
性能测试之必备知识

性能分析思

Python + ChatGPT来实现一个智能对话的钉钉机器人
一文看懂python如何执行cmd命令
posted @ 2023-07-26 09:10  测试玩家勇哥  阅读(65)  评论(0编辑  收藏  举报