问答 最近在学接口测试,不明白;既然已经有了前端的限制,为啥还要做接口测试,去验证无参、多参这些情况呢,用户怎么可能会跳过前端页面呢。。
=-=?
接口测试介入更早,可以更低成本测试出隐蔽 bug。并一定就是前端正常覆盖不了的 bug,而是在普通 bug 上也可以更早发现,这样修复的成本就更低。当然还有个原因就是,毕竟没啥卷的了,总得搞点啥嘛
- 万一前端在某些情况下穿错了异常的参赛到接口呢?
- 前后端分离,假如别有用心的人跳过前端,直接调用你们的接口去访问呢?
因为你考虑的黑客里面,不包括黑产,黑客。思考下这方面就知道了
接口测试,介入的时间要早于前端搭建完成之前。如果实现自动化的话投入回报率也很高。
这就是为什么做接口测试的原因之一。
用户不会跳过前端,但灰产可以啊。除了正常场景外,还有各种异常场景,非法场景需要考虑。
前端的控制是虚假的,可以被绕过
接口测试介入更早,可以更低成本测试出隐蔽 bug。并一定就是前端正常覆盖不了的 bug,而是在普通 bug 上也可以更早发现,这样修复的成本就更低。当然还有个原因就是,毕竟没啥卷的了,总得搞点啥嘛
1.安全,后台异常处理没做好,绕过前端,接口会暴露很多信息,甚至引起严重的安全问题
2.接口正常来说比前端设计先出来,所以先测了
3.用户=正常用户 + 想搞你的用户 + 想钻空子的用户
主要就是 5 楼说的原因,所以一定要做接口测试~而且不能单单只做你说的无参和多参。。。
防御性编程了解一下
测试不光是前端,后端的逻辑也要测的,而且相当程度上后端的测试重要性大于前端,因为你产品的大部分底层逻辑都在后端
前端的限制其实是不可靠的,如果只是普通人使用,前端限制足够了,但用户肯定不止是普通人,稍微懂点技术可能就直接用发包工具直接请求后端接口了,直接请求的话参数不就任别人写了吗
防得了君子,防不了小人