Какой вид тестирования использовать для проверки POST-запросов API?

Question

Какой вид тестирования использовать для проверки POST-запросов API?

Тип вопроса: API тестирование Вероятность: 10% Категория: QA Тестировщик

Ответ

Для тестирования POST-запросов применяется API-тестирование, в частности его функциональная и интеграционная составляющие.

Ключевые аспекты проверки:

Коды состояния HTTP: Убедиться, что возвращается корректный статус (например, 201 Created при успешном создании, 400 Bad Request при ошибке валидации).
Валидация данных: Проверить обработку обязательных/необязательных полей, корректность форматов (email, даты), граничные значения.
Целостность данных: Подтвердить, что отправленные данные корректно сохранились в системе (например, сверив с записью в базе данных).
Обработка ошибок: Проверить ответы системы на некорректные, неполные или дублирующиеся данные.
Заголовки и метаданные: Убедиться в корректности возвращаемых заголовков (например, Location для созданного ресурса).

Пример теста на Python с использованием библиотеки requests:

import requests

# Эндпоинт и тестовые данные
url = "https://api.example.com/users"
payload = {
    "name": "John Doe",
    "email": "john.doe@example.com"
}

# Выполнение POST-запроса
response = requests.post(url, json=payload)

# Проверки
assert response.status_code == 201, f"Ожидался статус 201, получен {response.status_code}"
response_data = response.json()
assert "id" in response_data, "Ответ не содержит ID созданного пользователя"
assert response_data["name"] == payload["name"], "Имя в ответе не соответствует отправленному"

# Дополнительно: проверка заголовка Location (если предусмотрено)
if 'Location' in response.headers:
    print(f"Ресурс создан по адресу: {response.headers['Location']}")

Дополнительные подходы:

Контрактное тестирование: Проверка соответствия API его спецификации (OpenAPI/Swagger).
Нагрузочное тестирование: Оценка производительности эндпоинта при множественных параллельных POST-запросах.

Ответ 18+ 🔞

Давай разберём этот ваш священный ритуал POST-запросов, а то некоторые думают, что это как письмо Деду Морозу кинуть — отправил и забыл. Блядь, нет же!

Вот смотри, когда ты что-то в систему суёшь (POST — это же и есть «сунуть», по сути), надо проверить, не выпадет ли это всё обратно тебе в ебучую физиономию с ошибкой. Аспекты, блядь, ключевые:

Коды ответа: Это как моргание фарами в темноте. 201 Created — значит, проехали, объект в базу впендюрили. 400 Bad Request — это тебе намёк, что ты отправил какую-то хуйню, а не данные. Надо читать, что там система бормочет в ответе.
Валидация: Обязательно надо попробовать отправить всякую дичь: email без собаки, отрицательный возраст, пустое поле там, где него хуй пролезет. Система должна тебя послать с элегантностью, а не просто рухнуть, блядь.
Целостность: А самый главный трюк, ёпта! Отправил — иди проверь, а действительно ли эта хрень сохранилась? Открывай базу, ищи свежую запись. А то бывает: «Всё ок, 200 OK!», а в базе — нихуя. Пиздец и обман.
Ошибки: Надо любить и ласкать систему неправильными данными. Дубликаты отправить, не тот формат. Посмотреть, не вывалится ли она в панике или выдаст вменяемое «Иди нахуй, друг, вот список твоих косяков».
Заголовки: Иногда в ответе прилетает заголовок Location. Это типа адрес, где теперь твой созданный ресурс торчит. Если он должен быть — проверь, блядь, что он есть и ведёт куда надо.

Вот, смотри, как это примерно выглядит в коде, если не быть совсем уж распиздяем:

import requests

# Куда стучаться и что в дверь сувать
url = "https://api.example.com/users"
payload = {
    "name": "John Doe",
    "email": "john.doe@example.com"
}

# Сам момент истины — отправляем!
response = requests.post(url, json=payload)

# А теперь начинается проверка, ебать её в сраку
assert response.status_code == 201, f"Ожидался статус 201, получен {response.status_code}"
response_data = response.json()
assert "id" in response_data, "Ответ не содержит ID созданного пользователя"
assert response_data["name"] == payload["name"], "Имя в ответе не соответствует отправленному"

# Дополнительно: проверка заголовка Location (если предусмотрено)
if 'Location' in response.headers:
    print(f"Ресурс создан по адресу: {response.headers['Location']}")

Ну и напоследок, про «дополнительные подходы», а то мало тебе, сука, базовых:

Контрактное тестирование: У вас же есть спецификация (OpenAPI)? Так вот, это не бумажка для галочки! Это священный договор. Тестируй, что твой реальный API не пиздит, а честно соблюдает все эти схемы и статусы, которые там понаписаны.
Нагрузочное тестирование: А вот это весёлое. Представь, что не один ты такой умный решил создать пользователя, а вас — овердохуища. Одновременно. Что сделает эндпоинт? Примет всех как миленький или сдохнет с позором на третьем запросе, показав 500 Internal Server Error? Проверять надо, блядь.

Вот так-то. Не просто «отправил и забыл», а с чувством, с толком, с расстановкой, и с постоянной мыслью «а не обманывает ли меня эта хитрая жопа-система?».