当前位置:首页 > 技术 > 正文内容

Python 接口测试进阶实践:安全校验、参数化驱动与多维断言

访客 技术 2026年7月18日 3

在进行接口自动化测试时,处理不同类型的请求协议、实现复杂的安全校验机制、以及通过参数化和多维断言提升测试覆盖率是核心技能。本文将深入探讨这些高级应用场景及其实施方案。

多类型接口请求处理

使用 requests 库可以灵活处理各种 HTTP 协议接口:

import requests
import json

# 1. 常规 GET 请求
query_args = {"id": 101, "category": "tech"}
resp_get = requests.get("https://api.example.com/items", params=query_args)

# 2. 表单格式 POST 请求
form_payload = {"username": "admin", "type": "internal"}
resp_form = requests.post("https://api.example.com/login", data=form_payload)

# 3. JSON 格式(RESTful)请求
json_payload = {"title": "new_task", "priority": 1}
resp_json = requests.post(
    "https://api.example.com/tasks", 
    headers={"Content-Type": "application/json"}, 
    data=json.dumps(json_payload)
)

# 4. 文件上传接口
upload_files = {"attachment": open("report.pdf", "rb")}
resp_upload = requests.post("https://api.example.com/upload", files=upload_files)

# 5. 保持会话的请求
session_manager = requests.Session()
session_manager.post("https://api.example.com/auth", data=form_payload)
resp_session = session_manager.get("https://api.example.com/dashboard")

接口安全验证与签名逻辑

为了保证接口调用的安全性,许多系统会采用 API 签名(Signature)机制。通常需要将请求参数按字典序排序,并结合 AppSecret 进行 MD5 加密。

import hashlib

def calculate_md5(content):
    hasher = hashlib.md5()
    hasher.update(content.encode('utf-8'))
    return hasher.hexdigest()

def inject_signature(params, secret_key):
    if not isinstance(params, dict):
        return None
    
    # 移除已有的签名串
    params.pop('sign', None)
    
    # 排序并拼接字符串
    sorted_keys = sorted(params.keys())
    base_string = "&".join([f"{k}={params[k]}" for k in sorted_keys])
    
    # 结合密钥生成最终签名
    final_sign = calculate_md5(f"{base_string}&secret={secret_key}")
    params['sign'] = final_sign
    return params

特殊协议接口:SOAP 与 XML-RPC

对于老旧系统或特定的分布式系统,可能涉及 SOAP 或 XML-RPC 协议:

# SOAP 接口调用 (需要安装 suds-py3)
from suds.client import Client
soap_service = Client("http://webservice.example.com/user?wsdl")
print(soap_service.service.getUserInfo("user_001"))

# XML-RPC 接口调用
import xmlrpc.client
rpc_server = xmlrpc.client.ServerProxy("http://rpc.example.com:5002")
print(rpc_server.fetch_all_records())

参数化测试驱动

参数化通过将测试逻辑与测试数据分离,极大提高了用例的可维护性。常见的数据源包括 JSON、Excel 及配置文件。

1. JSON 序列化与反序列化

# 序列化:Python 对象转为字符串或文件
data_map = {"env": "prod", "retries": 3}
with open("config.json", "w") as f:
    json.dump(data_map, f)

# 反序列化:从文件加载数据
with open("config.json", "r") as f:
    config_data = json.load(f)

2. Excel 数据驱动执行引擎

以下示例展示了如何读取 Excel 用例并执行,最后将结果写回:

import xlrd
from xlutils.copy import copy
import requests

def execute_excel_cases(source_path, target_path):
    workbook = xlrd.open_workbook(source_path)
    sheet = workbook.sheet_by_index(0)
    
    new_workbook = copy(workbook)
    output_sheet = new_workbook.get_sheet(0)

    for i in range(1, sheet.nrows):
        api_url = sheet.cell(i, 1).value
        method = sheet.cell(i, 2).value
        req_body = json.loads(sheet.cell(i, 4).value)
        expect_logic = sheet.cell(i, 5).value

        # 执行请求
        if method.upper() == "POST":
            response = requests.post(api_url, json=req_body)
        else:
            response = requests.get(api_url, params=req_body)
        
        # 结果校验 (利用 eval 动态解析预期表达式)
        is_passed = eval(expect_logic, {"resp": response})
        status_text = "PASS" if is_passed else "FAIL"
        
        output_sheet.write(i, 6, response.text)
        output_sheet.write(i, 7, status_text)

    new_workbook.save(target_path)

多维度断言:数据库与服务器状态

除了校验响应状态码和 JSON 字段,往往需要通过校验数据库或服务器文件状态来确保业务执行成功。

数据库校验 (MySQL)

import pymysql

def verify_db_record(user_id):
    db_conn = pymysql.connect(host='localhost', user='root', password='password', db='test_db')
    cursor = db_conn.cursor()
    cursor.execute("SELECT status FROM users WHERE id=%s", (user_id,))
    result = cursor.fetchone()
    cursor.close()
    db_conn.close()
    return result[0] if result else None

NoSQL 校验 (Redis & MongoDB)

# Redis 校验
import redis
r_client = redis.StrictRedis(host='localhost', port=6379, db=0)
cached_val = r_client.get("session_key")

# MongoDB 校验
from pymongo import MongoClient
mongo_client = MongoClient('localhost', 27017)
doc = mongo_client.my_db.logs.find_one({"event": "login_success"})

远程服务器校验 (SSH/Paramiko)

import paramiko

def check_server_log(host, user, pwd, command):
    ssh_client = paramiko.SSHClient()
    ssh_client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    ssh_client.connect(host, username=user, password=pwd)
    stdin, stdout, stderr = ssh_client.exec_command(command)
    log_output = stdout.read().decode()
    ssh_client.close()
    return log_output

集成测试示例 (Pytest)

将上述技术整合到 pytest 框架中,实现端到端的接口测试:

import pytest
import requests
import re

class TestAccountModule:
    api_root = "http://api.test-server.com"

    def test_user_registration(self):
        """测试用户注册并验证数据库状态"""
        target_url = f"{self.api_root}/register"
        payload = {"user": "tester_01", "token": "abc888"}
        
        resp = requests.post(target_url, json=payload)
        
        # 1. 响应断言
        assert resp.status_code == 201
        assert resp.json()["message"] == "Success"
        
        # 2. 数据库断言 (假设 db_helper 已定义)
        # assert db_helper.exists("SELECT * FROM users WHERE name='tester_01'")

    def test_dynamic_token_flow(self):
        """测试存在依赖关系的接口流"""
        session = requests.Session()
        
        # 步骤 A: 获取令牌
        auth_resp = session.get(f"{self.api_root}/get-token")
        match = re.search(r'access_token=([a-f0-9]+)', auth_resp.text)
        token = match.group(1)
        
        # 步骤 B: 使用令牌更新资料
        update_url = f"{self.api_root}/update-profile?sid={token}"
        update_resp = session.post(update_url, data={"bio": "Updated content"})
        
        assert update_resp.json()["code"] == 200
标签: pytest

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。