API安全性的要素与开发人员必修课测试

一、API安全性的要素主要包括以下几点：

 

1.身份验证和访问控制：API应该通过身份验证来验证请求的源，确保只有授权的用户或应用程序才能访问API。这可以通过使用API密钥、访问令牌、OAuth令牌或其他身份验证机制实现。

2.数据加密：API应该使用安全的数据传输协议（如HTTPS）来保护数据在传输过程中的安全性，同时将重要数据加密；这可以通过SSL证书来实现。

3.数据完整性：API应该验证请求和响应的完整性，确保数据在传输过程中没有被篡改或更改。

4.日志和监控：API应该记录所有访问，并监控所有请求以检测异常和安全威胁。此外，应该设定警报机制，以便在发生异常情况时通知相关人员。

5.限制访问：API应该遵循“最小权限原则”来限制不必要的访问。这可以通过授权松散耦合的API端点和仅授权需要的资源来实现。

6.漏洞管理：API应该积极进行漏洞管理，及时补丁安全漏洞和加固API的安全性。

二、为了确保API提供了必要的安全性、可靠性和性能，这不可避免地涉及到开发、持续执行和忠实地维护广泛的复杂测试。

以下是5个关键的 API测试“ 必须具备”，可以帮助你实现这一点：

1.智能测试创建和自动验证
由于api的极端暴露和潜在的误用，使得测试范围更广的条件和角落用例变得至关重要，自动化就成为了最重要的问题。在SOA的内部范围内，使用有限的或手动验证创建和执行简单的自动化测试可能已经足够了，但是需要更复杂和更广泛的自动化，以确信您的api足够健壮，能够在环境中生存下来。您需要一个自动化的级别，它为您提供一组全面的功能测试用例，这些测试用例可以以系统的方式重复。

为此目标推荐的功能包括一个直观的界面，用于跨消息传递层、esb、数据库和大型机自动化复杂场景：

定义api中使用的广泛协议和消息类型的自动化测试场景:REST、JSON、MQ、JMS、EDI、固定长度消息等。
在端到端测试场景中涉及的多个端点上自动化丰富的多层验证。
参数化来自数据源、从测试场景或变量中提取的值的测试消息、验证和配置。
定义复杂的测试流逻辑而不需要脚本。
可视化测试执行时消息和事件如何在分布式体系结构中流动。

2.测试资产和环境的更改管理
不断发展的API可以帮助组织在响应业务需求的同时保持领先于竞争对手。然而，如果自动化测试套件无法跟上不断发展的API，这种频繁的更改将带来巨大的质量风险。
快速、简单和准确地更新测试资产的系统对于使测试资产与不断变化的API保持同步至关重要。如果可以自动评估更改对现有测试的影响，然后快速更新现有测试（或创建新的测试）以响应已识别的更改影响，则可以大大减少所需的时间，以确保测试不会因预期的更改…而失败。或者忽略关键的新功能。

3.模拟测试环境的服务虚拟化
服务虚拟化技术即我们经常说的Mock，可以创建模拟测试环境，提供对依赖的系统组件行为的随时随地访问，这些依赖系统组件不可用、难以访问或难以配置用于开发或测试。“依赖组件”可能包括大型机、移动应用程序前端、数据库、web服务、第三方应用程序或其他超出团队直接控制范围的系统。服务虚拟化可以与硬件/OS虚拟化结合使用，以访问需要更早、更快或更完整地测试的环境。
在API测试的上下文中，服务虚拟化可以通过两种关键方式应用：

提供对依赖组件行为(例如，从移动应用程序、数据库、遗留系统或第三方服务)的访问，以彻底验证API。
为了模仿API的行为，创建一个API使用者可以在不影响生产环境的情况下开发和测试的测试环境，或者允许在API完成之前开始开发和测试。

4.广泛的性能测试--最好是服务虚拟化
由于api的高度暴露特性，很有可能出现不可预测和经常波动的业务量。要确定在API通常面临的需求不稳定或激增的情况下，您的API是否能够满足sla，就必须扩大性能测试的范围。您可以使用服务虚拟化（上文说过）创建模拟测试环境，帮助您针对不同的性能场景进行测试，否则在测试环境中很难创建这些场景。
例如，可以轻松地设置性能条件(例如，定时、延迟、延迟)来模拟峰值、预期性能和缓慢的性能——也许是为了帮助规划云突发，或者确定当有人从国外访问它时API可能如何响应。还可以配置各种很难在实际系统中再现或复制的错误和故障条件——例如，如果API依赖于AmazonWebServices，您可以轻松地模拟AWS宕机的场景。这种在相关系统中快速配置广泛条件的能力对于确定api在异常条件下是否提供合理的响应（或至少优雅地失败）至关重要。
采用服务虚拟化有助于性能测试的最后一种方式是：可以“虚拟化”到第三方系统的任何连接，从而可靠地消除压力测试可能影响不允许（或预算）使用测试消息的服务的风险。

5.广泛的安全性测试-最好是服务虚拟化
考虑到API增加的攻击表面积较大，一个多方面的安全测试策略对于确保开发在应用程序中构建适当级别的安全至关重要。这包括：

执行复杂的身份验证、加密和访问控制测试场景。
生成范围广泛的渗透攻击场景，包括参数模糊、注入、大有效载荷等。
针对现有功能测试方案运行渗透攻击场景。
在测试执行期间监视后端，以确定安全性是否实际受到损害。
此外，如果采用的是服务虚拟化（上文说过），则可以利用它将您的安全测试提升到下一个级别：

它提供了快速模拟攻击场景的方法，以及模拟依赖项的不同安全行为的方法。这使您可以从现有的功能测试方案中获得更多的价值(因为您可以相对于不同的安全场景运行它们，否则将很难配置，并且无法对它们进行测试)。
它允许在没有安全专家的情况下执行广泛的安全测试。现有的测试方案可以很容易地针对一组广泛的预先配置的安全场景执行。
它帮助您隔离API，并将其用于响应各种攻击场景和依赖项的不同安全行为。
这里推荐的是Eolinker的Goku网关，可以自行尝试一下。

获取各大电商平台的点击：API测试调用

API目前支持以下基本接口：

• item_get 获得淘宝商品详情
• item_get_pro 获得淘宝商品详情高级版
• item_review 获得淘宝商品评论
• item_fee 获得淘宝商品快递费用
• item_password 获得淘口令真实url
• item_list_updown 批量获得淘宝商品上下架时间
• seller_info 获得淘宝店铺详情
• item_search 按关键字搜索淘宝商品
• item_search_tmall 按关键字搜索天猫商品
• item_search_pro 高级关键字搜索淘宝商品
• item_search_img 按图搜索淘宝商品（拍立淘）
• item_search_shop 获得店铺的所有商品
• item_search_seller 搜索店铺列表
• item_search_guang 爱逛街
• item_search_suggest 获得搜索词推荐
• item_search_jupage 天天特价
• item_search_coupon 优惠券查询
• cat_get 获得淘宝分类详情
• item_cat_get 获得淘宝商品类目
• item_search_samestyle 搜索同款的商品
• item_search_similar 搜索相似的商品
• item_sku 获取sku详细信息
• item_recommend 获取推荐商品列表
• brand_cat 获取品牌分类列表
• brand_cat_top 获取分类推荐品牌列表
• brand_cat_list 得到指定分类的品牌列表
• brand_keyword_list 得到指定关键词的品牌列表
• brand_info 得到品牌相关信息
• brand_product_list 得到指定品牌的产品
• custom 自定义API操作
• buyer_cart_add 添加到购物车
• buyer_cart_remove 删除购物车商品
• buyer_cart_clear 清空购物车
• buyer_cart_list 获取购物车的商品列表
• buyer_cart_order 将购物车商品保存为订单
• buyer_order_list 获取购买到的商品订单列表
• buyer_order_detail 获取购买到的商品订单详情
• buyer_order_express 获取购买到的商品订单物流
• buyer_order_message 获取购买到的订单买家留言
• buyer_address_list 收货地址列表
• buyer_address_clear 清除收货地址
• buyer_address_remove 删除收货地址
• buyer_address_modify 修改收货地址
• buyer_address_add 添加收货地址
• buyer_info 买家信息
• buyer_token 买家token
• seller_order_list 获取卖出的商品订单列表
• seller_order_detail 获取卖出的商品订单详情
• seller_order_close 卖家关闭一笔交易
• seller_order_message 获取或修改卖出去的订单备注
• seller_auction_list 商品可上下架商品列表
• seller_auction 商品上下架
• seller_item_add 商品上传
• upload_img 上传图片到淘宝
• img2text 图片识别商品接口
• tbk_order_query 淘宝客订单查询
• item_list_weight 批量获取商品信息
• item_history_price 获取商品历史价格信息
• item_get_app 获得淘宝app商品详情原数据