情况是这样的，我新入职了一家公司，领导让我做接口测试（以前他们没做过），我跟开发要了个接口 doc 文档，文档里面只定义了正常传参的格式和正常响应的格式，没有写异常时候的 code 和 message，然后我在测试中发现下面这些问题：
1、必填项只在前端限制必须输入，传空字符串，后台会保存成功的
2、数据类型的校验只在前端做限制，比如密码输入汉字，后台会保存成功的
3、长度的校验，有的后台没做校验，但会在入库时候失败，返回系统处理异常
4、新增用户，需要绑定组织 id，但是传个不存在的组织 id，也会保存成功的，修改删除，传 id 不存在，也会返回成功
5、修改时，参数传 null,返回成功
6、后台没判断用户的权限，比如用户没有新增的权限，但是通过接口新增可以成功

我知道不可能要求开发去对每种异常进行校验，工作量很大，但是我们测试时候应该按照什么标准去定义 “期望结果” 呢？UI 测试我们有需求作为依据，接口测试没有依据供你参考啊
请问大家的公司是怎么对待这种问题的？你们的接口协议文档会详细到定义每种异常响应吗？我上面写的那些，算是 BUG 吗？