答案。

API的手动测试是指在不使用自动化的情况下，通过专门的工具（如Postman、Swagger或curl）来验证应用程序编程接口的工作情况。

背景

由于缺乏自动化和接口相对简单，早期的API测试都是手动进行的。如今，尽管有了自动化，手动测试仍然保持着重要性，尤其是在对新或不稳定的方法进行基础验证时。

问题

主要困难包括：

• 需要准确理解输入和输出数据的结构（JSON、XML等）
• 难以重现复杂场景（身份验证、系统状态依赖）
• 隐藏的缺陷可能被遗漏，这些缺陷在UI中不易察觉

解决方案

成功的测试要求：

• 认真对待API文档
• 创建涵盖不同参数和错误场景的手动请求集
• 测试正面和负面场景（数据验证、权限检查）

关键特点：

• 能够快速验证新的或已修改的端点，而无需等待自动测试
• 在结果不明显时，灵活分析异常和错误
• 对请求和响应的所有阶段进行可视化控制

诱导性问题。

可以仅通过UI而不使用类似Postman的工具进行API的手动测试吗？

不可以，因为许多错误只在数据传输层面上显现，而不通过UI显示，因此需要使用专门的工具进行全面验证。

仅仅发送一个正确的请求就足够测试API端点的工作情况吗？

不够，重要的是测试不仅包括有效请求，还要涵盖所有边界情况、无效情况和少见情况，否则缺陷将被遗漏。

是否需要单独测试负面场景，还是这项工作多余？

绝对需要。重要的是确保系统能正确处理错误并拒绝无效请求，否则安全性和稳定性将面临威胁。

常见错误和反模式

• 仅测试“理想”场景（未检查无效值）
• 忽视系统状态——基于已经存在的数据或未准备好的数据库进行检查
• 缺乏对头部、错误状态和非标准案例的验证

现实案例

负面案例

测试人员仅检查对API“创建用户”的成功POST请求——发送正确的JSON，获得200 OK，便认为测试结束。

优点：

• 快速检查主要场景

缺点：

• 遗漏了与缺字段、无效email格式、重复创建同一用户有关的错误
• 无法确保API返回正确的错误代码

正面案例

测试人员系统地检查API“创建用户”：

• 有效请求的成功
• 缺少必需参数时的错误
• 重复创建时的错误
• 检查不同的HTTP状态代码、错误信息、email验证

优点：

• 确保API在不同情况下正确工作
• 最小化生产环境中的缺陷数量

缺点：

• 准备和控制测试数据需要更多时间