BugLab
LoginRegister

API testing: практический подход

API-тестирование проверяет поведение системы на уровне запроса и ответа. Важно смотреть не только статус-код, но и контракт, бизнес-правила, права доступа, идемпотентность, ошибки и изменение данных.

Что важно понять

  • Метод, URL, заголовки, авторизацию и формат тела запроса.
  • Схему ответа, обязательные поля, типы, nullability и совместимость.
  • Негативные сценарии: неверный формат, отсутствие прав, конфликт, лимиты.
  • Побочные эффекты: запись в базу, событие в очередь, уведомление, audit log.

Рабочий порядок

  1. Начните с документации или фактического контракта API.
  2. Проверьте happy path и зафиксируйте эталонный ответ.
  3. Добавьте негативные проверки по данным, правам и состояниям.
  4. Проверьте, что изменения действительно сохранились или откатились.

Что отдавать команде

  • Коллекция запросов или автотесты API.
  • Список проверенных контрактов и негативных сценариев.
  • Payload, response и correlation id для дефектов.

Частые провалы

  • Считать 200 OK успешным тестом без проверки тела.
  • Не тестировать повторный запрос и конфликт состояний.
  • Проверять API только через UI, когда проблема может быть глубже.

Практика

Для endpoint обновления профиля проверьте валидный запрос, пустые поля, чужой token, повторный запрос, конкурентное обновление и проверку сохранённых данных.