Apresentação de apoio utilizada no minicurso "Testando RESTful web services", ministrado no OctoberTest 2015, em Florianópolis (www.octobertest.com.br). Neste curso abordamos web services RESTful (ou REST APIs), entendendo seu funcionamento e os desafios que eles trazem para nós testadores. Durante o curso foram apresentados os principais conceitos relacionados a esse tipo de serviço (verbos, response codes, cabeçalhos, payloads e autenticação) e como podemos testá-lo de maneira exploratória ou com testes automatizados, além de apontar insights de possíveis cenários de testes relacionados aos conceitos apresentados. Durante o curso, utilizamos a linguagem de programação Python e abordamos os testes automatizados sem nos preocupar com ferramentas específicas para esse tipo de teste, mantendo o foco nos conceitos base.

1. Charles Kilesse
@chkile
Testando RESTful Web Services

3. • REST e RESTful web services
• URI
• Métodos
• Estrutura de mensagem HTTP
• Códigos de resposta
• Testes exploratórios com Postman
• Testes automatizados com Python
• Boas práticas em automação
• Autenticação
Agenda

4. O que é REST?

5. REST
“Representational state transfer”
Estilo arquitetural da World Wide Web
Trata de papéis e interações
Comunicação tipicamente por HTTP

6. REST
Cliente/Servidor
Sem estado
Interface uniforme

7. Tá, mas… onde
entram as APIs?

8. RESTful Web Services
Uniform Resource Identifier (URI)
Métodos (ou verbos) HTTP
Media type (JSON, XML…)
Sem estado

9. URI
http://chaordic.com.br/
http://chaordic.com.br:80/
http://user:password@chaordic.com.br/
http://chaordic.com.br/caminho/recurso

10. URI
http://chaordic.com.br/?chave=valor
http://chaordic.com.br/?c=v&c2=v2
http://chaordic.com.br/#fragmento

11. Verbos (métodos) HTTP
GET POST PUT DELETE
OPTIONS
HEADCONNECT TRACE
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html

12. Verbos (métodos) HTTP
GET POST PUT DELETE
OPTIONS
HEADCONNECT TRACE
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
este curso

13. - Solicita uma representação do
recurso especificado.
- Apenas recupera dados!
verbo
GET

14. - Envia uma entidade a ser
processada.
- Dados da entidade e
informações adicionais
devem ser enviados no
corpo da requisição.
verbo
POST

15. - Envia uma entidade a ser
armazenada sob uma
determinada URI.
- Substitui a entidade, se já
existir. Se não existir, cria uma
na URI especificada.
verbo
PUT

16. - O recurso
especificado se fode
é deletado.
verbo
DELETE

17. Verbos (métodos) HTTP
GET POST PUT DELETE
seguro
idempot
ente
idempote
nte
idempotente

18. VERBO URI
CABEÇALHOS
CORPO

19. Mãos à obra!

20. http://www.google.com/chrome/
https://www.getpostman.com/

21. GET http://dummyimage.com/600x400

23. GET http://dummyimage.
com/600x400/ff0000/fff

24. GET http://dummyimage.
com/600x400/ff0000/fff&text=October
Test

25. GET http://dummyimage.com/640x400/%%%

26. WTF!?

28. HTTP Status Codes
Informação: 1xx
Sucesso: 2xx
Redirecionamento: 3xx
Erro do Cliente: 4xx
Erro do Servidor: 5xx
http://www.cheatography.com/kstep/cheat-sheets/http-status-codes/

29. GET http://jsonplaceholder.typicode.
com/posts/1

30. POST http://jsonplaceholder.typicode.
com/posts
Content-Type: application/json
{
"title": "Titulo 1",
"body": "Body 1",
"userID": 1
}

32. PUT http://jsonplaceholder.typicode.
com/posts/1
Content-Type: application/json
{
"id": 1,
"title": "Titulo 1",
"body": "Body 1",
"userID": 1
}

34. DELETE http://jsonplaceholder.typicode.
com/posts/1

35. #partiuautomação

36. https://www.jetbrains.com/pycharm/
http://www.python-requests.org/
https://www.python.org/

37. import unittest
import requests
class TestCases(unittest.TestCase):
pass
if __name__ == "__main__":
unittest.main()

38. class TestCases(unittest.TestCase):
def test_get_200(self):
msg="Test not implemented."
self.fail(msg)

39. def test_get_200(self):
uri = "http://apps.testinsane.com/rte/status/200"
r = requests.get(uri)
msg = "Incorrect status code: %d" % r.status_code
self.assertEqual(r.status_code, 200, msg)

40. def test_get_401(self):
uri = "http://apps.testinsane.com/rte/status/401"
r = requests.get(uri)
msg = "Incorrect status code: %d" % r.status_code
self.assertEqual(r.status_code, 401, msg)

41. POST
Enviar um payload
Header “content-type”
Validar conteúdo da resposta

42. import json

43. uri = "http://apps.testinsane.com/rte/status/200"

44. headers = {
"content-type": "application/json"
}

45. payload = {
"id": "1",
"name": "OctoberTest"
}

46. r = requests.post(uri,
data=json.dumps(payload),
headers=headers)

47. r_payload = r.json()

48. msg = "Incorrect status code: %d" % r.status_code
self.assertEqual(r.status_code, 200, msg)
msg = "Incorrect id: %s" % r_payload.get("id")
self.assertEqual(r_payload.get("id"),
payload.get("id"),
msg)
msg = "Incorrect name: %s" % r_payload.get
("name")
self.assertEqual(r_payload.get("name"),
"payload.get("name")",
msg)

49. def test_post_200(self):
uri = "http://apps.testinsane.com/rte/status/200"
headers = {
"content-type": "application/json"
}
payload = {
"id": "1",
"name": "OctoberTest"
}
r = requests.post(uri,
data=json.dumps(payload),
headers=headers)
r_payload = r.json()
msg = "Incorrect status code: %d" % r.status_code
self.assertEqual(r.status_code, 200, msg)
msg = "Incorrect id: %s" % r_payload.get("id")
self.assertEqual(r_payload.get("id"),
payload.get("id"),
msg)
msg = "Incorrect name: %s" % r_payload.get("name")
self.assertEqual(r_payload.get("name"),
"payload.get("name")",
msg)

50. E se o host mudar?
E se os endpoints mudarem?

51. E se a resposta tiver
234565639582 chaves?

52. MODULARIZAR!

53. api_helper.py
import requests
import json
HOST = "http://apps.testinsane.com/rte%s"
def get(endpoint):
uri = HOST % endpoint
return requests.get(uri)
def post(endpoint, headers, payload):
uri = HOST % endpoint
return requests.post(uri,
data=json.dumps(payload),
headers=headers)

54. json_helper.py
import logging
def compare(expected, actual):
all_match = True
for key, value in expected.
iteritems():
if not value==actual.get(key):
all_match = False
return all_match
* E se o valor de uma chave for uma lista ou objeto?

55. import api_helper
import json_helper
class TestCases(unittest.TestCase):
def test_get_200(self):
r = api_helper.get("/status/200")
msg = "Incorrect status code: %d" % r.status_code
self.assertEqual(r.status_code, 200, msg)

56. msg = "Response payload did not match the request payload."
self.assertTrue(json_helper.compare(payload, r_payload), msg)

57. BOAS PRÁTICAS!

58. Organizando os testes com o padrão “3 As”

59. def test_get_200(self):
# Arrange
endpoint = "/status/200"
# Act
r = api_helper.get(endpoint)
# Assert
msg = "Incorrect status code: %d" % r.status_code
self.assertEqual(r.status_code, 200, msg)

60. Funcional x Estrutural
login(username, password)
ou
login_as(user)
enter_name(username)
enter_password(password)
click_login()

61. Use “lint checkers”!
(PEP8: Style Guide for Python Code)

62. Código de teste entrega valor e deve ser
tratado como “código de produção”

63. YAGNI, DRY and KISS whenever you can!

64. AUTENTICAÇÃO

65. Basic Authentication
Autenticação simples (cabeçalhos
estáticos)
Encoding em Base64 durante a
trasnferência
Não criptografado

66. Digest Access
Authentication
Aplica hash MD5 nas credenciais
Mais seguro que Basic Auth

67. OAuth
Baseado na criação de “tokens” de
acesso para clientes terceiros
Aplicativos acessando sua conta do
Facebook ou CI SAAS acessando um
repositório no GitHub, por exemplo

68. from requests.auth import HTTPBasicAuth
basic_auth = HTTPBasicAuth('user', 'pass')
requests.get('https://api.github.com/user', auth=basic_auth)
from requests.auth import HTTPDigestAuth
digest_auth = HTTPDigestAuth('user', 'pass')
from requests_oauthlib import OAuth1
oauth = OAuth1('YOUR_APP_KEY', 'YOUR_APP_SECRET',
'USER_OAUTH_TOKEN',
'USER_OAUTH_TOKEN_SECRET')
http://docs.python-requests.org/en/latest/user/authentication/

69. Links e referências
https://github.com/chkile/minicurso-octobertest
http://www.w3.org/Protocols/
http://docs.python-requests.org/en/latest/
https://www.python.org/dev/peps/pep-0008/

70. charles@chaordic.com.br
charles.kilesse@outlook.com
@chkile