【Python+postman接口自动化测试】（4）HTTP 协议

前言

HTTP：超文本传输协议，是用于从WWW服务器传输超文本到本地浏览器的传输协议。 HTTP协议是一种无状态协议，主要包含请求和相应两大部分。

请求（Request)

get请求示范：

GET http://wthrcdn.etouch.cn/weather_mini?citykey=101070101

请求是我们发送给接口的数据对象，包含接口地址（URL），请求方法，参数，请求头（Headers), Cookies, 数据等真实抓包一个请求：

请求原始格式-GET（Raw格式：Fiddler抓包得到）

1 GET http://wthrcdn.etouch.cn/weather_mini?citykey=101070101 HTTP/1.1

2 Host: wthrcdn.etouch.cn

3 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0

4 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

5 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

6 Accept-Encoding: gzip, deflate

7 Connection: keep-alive

8 Upgrade-Insecure-Requests: 1

第1行：请求方法接口地址 HTTP协议版本
第2-N行：请求headers(如果有Cookie，最后一行为Cookie)
空一行
请求数据（POST等方法使用，此处为空）

POST请求示范：

请求原始格式-POST请求（Raw格式：Fiddler抓包得到）

POST http://openapi.tuling123.com/openapi/api/v2 HTTP/1.1

Content-Type: application/json

cache-control: no-cache

Postman-Token: 1a39439e-61c8-4e59-82a1-736a362c5962

User-Agent: PostmanRuntime/7.2.0

Accept: */*

Host: openapi.tuling123.com

accept-encoding: gzip, deflate

content-length: 468

Connection: keep-alive

{

    "reqType":0,

    "perception": {

        "inputText": {

            "text": "附近的酒店"

        },

        "inputImage": {

            "url": "imageUrl"

        },

        "selfInfo": {

            "location": {

                "city": "北京",

                "province": "北京",

                "street": "信息路"

            }

        }

    },

    "userInfo": {

        "apiKey": "ec961279f453459b9248f0aeb6600bbe",

        "userId": "206379"

    }

}

URL

URL：统一资源定位符，接口的访问地址（包含服务器地址+接口地址）

URL组成格式

协议\\: 服务器地址:端口号\资源路径?参数1=值1&参数2=值2

如：https://www.sojson.com/open/api/weather/json.shtml?city=北京

注意：?号要使用英文?,不能使用中文？

URL编码

URL编码是一种浏览器用来打包请求参数及表单参数的格式, 参数和参数之间使用&分割，非ASCII码使用%加16进制编码替换
如：https://www.sojson.com/open/api/weather/json.shtml?city=北京
编码后为：https://www.sojson.com/open/api/weather/json.shtml?city=%E5%8C%97%E4%BA%AC

链接：URL编码/解码工具(http://tool.chinaz.com/Tools/urlencode.aspx)

请求方法

序号	方法	描述
1	GET	请求指定的页面信息，并返回实体主体
2	POST	向指定资源提交数据进行处理请求（例如提交表单或者上传文件）数据被包含在请求体中
3	HEAD	类似于get请求，只不过返回的响应中没有具体的内容，用于获取报头
4	PUT	从客户端向服务器传送的数据取代指定的文档的内容
5	DELETE	请求服务器删除指定的页面
6	CONNECT	预留给能够将连接改为管道方式的代理服务器
7	OPTIONS	允许客户端查看服务器的性能
8	TRACE	回显服务器收到的请求，主要用于测试或诊断

GET请求和POST请求的区别

GET请求：
- GET请求可被缓存
- GET请求保留在浏览器历史记录中
- GET请求可被收藏为书签
- GET请求不应在处理敏感数据时使用
- GET请求有长度限制
- GET请求只应当用于取回数据
POST请求：
- POST请求不会被缓存
- POST请求不会保留在浏览器历史记录中
- POST不能被收藏为书签
- POST请求对数据长度没有要求

请求参数（URL参数）

如：https://www.sojson.com/open/api/weather/json.shtml?city=北京

中的city=北京,向接口传递一个参数“city”,参数值为“北京”
不同的参数之间用&隔开，非ASCII码参数会自动url encode

请求Headers（请求头）

常见Headers

请求数据(又称为Request Body 或 Data)

请求数据类型（Content-Type）（重点）

application/x-www-form-urlencoded：网页表单格式（默认）
application/json：REST接口常用格式
text/xml：xml格式，RPC接口，Dubbo接口常用格式
test/html： html格式
multipart/form-data: 混合表单，支持上传图片

数据编码

ASCII码: 单字节，美国信息交换标准码, 包含数字，字母，英文标点及一些控制字符
ISO-8859-1：又称Latin1，单字节，向下兼容ASCII，用于支持部分于欧洲使用的语言
ANSI编码：单字节表示英文，双字节表示汉字，对ASCII的扩展，不同的国家和地区制定了不同的标准，中文中的GBK,GB2312属于ANSI编码
Unicode编码: 采用二个字节编码（英文和中文的字符都以双字节存放），与ANSI码不兼容
UTF-8：是目前互联网上使用最广泛的一种Unicode 编码方式，又称万国码

指定请求数据编码（解决中文乱码）：
请求Headers设置Content-Type: application/json; charset=utf-8

Base64: 一种用64个字符来表示任意二进制数据的方法。
- Base64编码的作用：由于某些系统中只能使用ASCII字符。Base64就是用来将非ASCII字符的数据转换成ASCII字符的一种方法。
- 而且base64特别适合在http，mime协议下快速传输数据。

参考：Base64编码及其作用

响应（Response)

接口返回的信息，包含HTTP状态码，响应头和相应信息

原始相应数据（Raw格式，Fiddler抓包）

Copy

HTTP/1.1 200 OK

Date: Thu, 23 Aug 2018 06:32:26 GMT

Transfer-Encoding: chunked

Connection: keep-alive

{"intent":{"actionName":"","code":10005,"intentName":"","parameters":{"lon":"","checkout_date":"2018-08-25","star":"0","city":"北京","days":"1","order":"","price_range":"","nearby_place":"酒店","brand":"","checkin_date":"2018-08-24","place":"信息路","lat":"","needgeo":"0"}},"results":[{"groupType":1,"resultType":"url","values":{"url":"http://m.elong.com/hotel/0101/nlist/#indate=2018-08-24&outdate=2018-08-25&keywords=%E4%BF%A1%E6%81%AF%E8%B7%AF"}},{"groupType":1,"resultType":"text","values":{"text":"亲，已帮你找到相关酒店信息"}}]}

常见的响应格式

html
json
xml

响应编码：有时需要根据不同的编码来正确解析响应内容

HTTP状态码

1** 信息，服务器收到请求，需要请求者继续执行操作
2** 成功，操作被成功接收并处理
3** 重定向，需要进一步的操作以完成请求
4** 客户端错误，请求包含语法错误或无法完成请求
5** 服务器错误，服务器在处理请求的过程中发生了错误

常见HTTP响应码

200：成功
301/302：请求重定向到另外一个接口
400: 请求语法错误
403：资源没有访问权限
404：资源不存在（有可能是请求url错误或参数不正确）
405：请求方法不被允许（比如接口只允许Post,使用Get请求接口）
500：服务器内部错误（通常是服务器挂了或接口Bug)
502: 网关失效
504: 网关请求超时

HTTP与HTTPS

HTTP协议传输的数据都是未加密的，HTTPS协议是由HTTP+SSL协议构建的可进行加密传输、身份认证的网络协议，要比HTTP协议安全。
HTTPS和HTTP的区别

HTTPS协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。
HTTP是超文本传输协议，信息是明文传输，HTTPS则是具有安全性的SSL加密传输协议。
HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
HTTP的连接很简单，是无状态的；HTTPS协议是由HTTP+SSL协议构建的可进行加密传输、身份认证的网络协议，比HTTP协议安全。

Cookie和Session

**Cookie/Cookies: **是指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。
Session：服务端为客户端访问所建立和维持的会话，通常会生成一个唯一的id，会话有一定的有效期。
由于HTTP是无状态的，即服务器不知道用户上一次做了什么，默认也无法识别用户身份。
比较流行的做法是：
用户访问时服务端建立会话（Session）
将会话id（Session ID）随响应返回，并保存在客户端的Cookies里
后续的访问中，服务器通过辨识，客户端请求时携带的Cookies内容来识别用户

Cookie和Session的区别

cookie是存在客户端（浏览器）的进程内存中和客户端所在的机器硬盘上
cookie只能能够存储少量文本，大概4K大小
cookie是不能在不同浏览器之间共享
Session存在服务器端，存在网站进程的内存中
Session在初次设置session的时候，会在session池中实例化一个session对象，以sessionid 的值作为key，同时会将key以cookie的形式保存到客户端的内存中
Session的作用域只存在当前浏览器的会话中，当浏览器关闭以后就会将sessionid丢失，但是服务器的Session对象要20分钟以后才会回收

授权与加密

常见的接口安全策略：

Session/Cookie机制：即需要登录，登录后可访问各个接口，最常用的一种策略，适用于内部接口。
固定appid模式：用户注册时会生成一个唯一的appid，用户调用接口时需要携带appid，适用于公开接口，安全性较差。
动态token模式： token即身份令牌，用户访问接口需要使用个人appid临时申请一个token，token有一定有效期，适用于公开接口，安全性较appid模式好。
开放协议： Basic Auth/ Oauth1.0 / Oauth2.0: 适用于开放接口。
数字签名：将所有请求参数及参数值进行排列拼接，加上用户私钥，再进行Md5或其他加密生成一个请求的签名（sign）,请求是需要携带签名，服务器收到请求后，会对请求重新计算签名并核实与请求所携带签名是否一致。安全性较高，可以有效防止请求被篡改。适用于内部接口及微服务接口。

常见的加密算法
在接口数据传输过程中常对一些敏感数据（如密码）进行Base64编码或MD5加密，以增加安全性。
加密算法分为对称式加密算法和非对称式加密算法，对称式加解密使用同一个秘钥，非对称式使用不同的秘钥。

对称式加密
- DES: 数据加密标准，速度较快，适用于加密大量数据的场合
- AES: 高级加密标准，速度快，安全级别高
非对称式加密
- RSA: 是一个支持变长密钥的公共密钥算法，分公钥和私钥，SSH协议使用该算法
- MD5: 最常用的一种加密方法，是一种摘要算法。

缓存

HTTP 缓存机制作是 web 性能优化的重要手段，当用户第一次请求服务器资源时，服务器将资源缓存到客户端本地，在一定时间内（缓存有效期内）当用户再次向服务器请求同样的资源时，可以直接从缓存中读取，而不用从服务器下载。

接口测试中缓存相关注意点

在更新或调试接口是，注意是否需要清理缓存（或临时禁用缓存）
缓存有一定的有效期
接口性能测试中会关注缓存的命中率

原文：https://i.cnblogs.com/posts/edit;postId=15503917