API Testi: REST ve GraphQL için Kapsamlı Bir Rehber

Günümüzün birbirine bağlı dijital dünyasında, API'ler (Uygulama Programlama Arayüzleri) modern yazılım uygulamalarının bel kemiğidir. Farklı sistemler arasında iletişim ve veri alışverişini kolaylaştırarak kusursuz entegrasyon ve işlevsellik sağlarlar. API'ler giderek daha kritik hale geldikçe, titiz testlerle güvenilirliklerini, performanslarını ve güvenliklerini sağlamak büyük önem taşır. Bu kapsamlı rehber, hem REST hem de GraphQL API'leri için API test stratejilerini, temel teknikleri, araçları ve en iyi uygulamaları ele almaktadır.

API Testi Nedir?

API testi, API'lerin işlevselliğini, güvenilirliğini, performansını ve güvenliğini doğrulamaya odaklanan bir yazılım testi türüdür. Geleneksel kullanıcı arayüzü tabanlı testlerin aksine, API testi mesaj katmanında çalışır ve test uzmanlarının bir kullanıcı arayüzüne dayanmadan doğrudan API uç noktalarıyla etkileşime girmesine ve davranışlarını doğrulamasına olanak tanır.

API testinin temel unsurları şunlardır:

• İşlevsellik Testi: API'nin veri alma, oluşturma, değiştirme ve silme dahil olmak üzere amaçlanan işlevlerini doğru bir şekilde yerine getirdiğini doğrulamak.
• Güvenilirlik Testi: API'nin hataları, istisnaları ve beklenmedik girdileri sorunsuz bir şekilde ele alma yeteneğini değerlendirmek.
• Performans Testi: API'nin yanıt süresini, işlem hacmini ve çeşitli yük koşulları altında ölçeklenebilirliğini değerlendirmek.
• Güvenlik Testi: Kimlik doğrulama kusurları, yetkilendirme atlatmaları ve veri enjeksiyonu saldırıları gibi güvenlik açıklarını belirlemek.

API Testi Neden Önemlidir?

API testi birçok önemli fayda sunar:

• Erken Hata Tespiti: Hataları geliştirme yaşam döngüsünün erken aşamalarında belirleyerek düzeltme için gereken maliyeti ve çabayı azaltmak.
• Geliştirilmiş Yazılım Kalitesi: API'lerin güvenilirliğini ve kararlılığını sağlayarak daha yüksek kaliteli yazılım uygulamaları elde etmek.
• Pazara Daha Hızlı Sunma: API'lerin ve kullanıcı arayüzü bileşenlerinin paralel test edilmesini sağlayarak geliştirme sürecini hızlandırmak.
• Azaltılmış Test Maliyetleri: Manuel çabayı azaltmak ve test kapsamını iyileştirmek için API testlerini otomatikleştirmek.
• Geliştirilmiş Güvenlik: API'lerdeki güvenlik açıklarını belirleyip azaltarak hassas verileri korumak ve yetkisiz erişimi önlemek.

REST API Testi

REST (Representational State Transfer), ağa bağlı uygulamalar tasarlamak için bir mimari stildir. REST API'leri, kaynaklara erişmek ve bunları değiştirmek için standart HTTP yöntemlerini (GET, POST, PUT, DELETE) kullanır. REST API'lerini test etmek, bu yöntemlerin doğru çalışıp çalışmadığını ve REST ilkelerine uyup uymadığını doğrulamayı içerir.

REST API Test Teknikleri

• İşlevsel Test:
  • Kaynak Oluşturma: Yeni kaynaklar oluşturmak için POST istekleri göndermek ve yanıt durum kodunu (ör. 201 Created) doğrulamak.
  • Kaynak Alma: Mevcut kaynakları almak için GET istekleri göndermek ve yanıt gövdesini ve durum kodunu (ör. 200 OK) doğrulamak.
  • Kaynak Değiştirme: Mevcut kaynakları güncellemek için PUT veya PATCH istekleri göndermek ve yanıt durum kodunu (ör. 200 OK veya 204 No Content) doğrulamak.
  • Kaynak Silme: Mevcut kaynakları kaldırmak için DELETE istekleri göndermek ve yanıt durum kodunu (ör. 204 No Content) doğrulamak.
• Doğrulama Testi:
  • Veri Doğrulama: API'nin doğru veri türlerini, formatlarını ve değerlerini döndürdüğünü doğrulamak.
  • Şema Doğrulama: API yanıtlarının tanımlanan şemaya (ör. OpenAPI Spesifikasyonu) uygun olduğundan emin olmak.
  • Hata Yönetimi: API'nin geçersiz istekler veya beklenmedik durumlar için uygun hata mesajları ve durum kodları döndürdüğünü doğrulamak.
• Güvenlik Testi:
  • Kimlik Doğrulama Testi: API'nin korunan kaynaklara erişmek için uygun kimlik doğrulama bilgilerini (ör. API anahtarları, OAuth jetonları) gerektirdiğini doğrulamak.
  • Yetkilendirme Testi: Kullanıcıların yalnızca erişim yetkisine sahip oldukları kaynaklara erişebildiğinden emin olmak.
  • Girdi Doğrulama: Kullanıcı girdilerini doğrulayarak ve verileri işlemeden önce temizleyerek veri enjeksiyonu saldırılarını önlemek.
• Performans Testi:
  • Yük Testi: API'nin ağır yük altındaki performansını değerlendirmek için çok sayıda eşzamanlı kullanıcıyı simüle etmek.
  • Stres Testi: Kırılma noktalarını ve performans darboğazlarını belirlemek için API'yi sınırlarının ötesine zorlamak.
  • Dayanıklılık Testi: Bellek sızıntılarını veya diğer uzun vadeli sorunları belirlemek için API'nin performansını uzun bir süre boyunca test etmek.

REST API Test Araçları

REST API'lerini test etmek için çeşitli araçlar mevcuttur:

• Postman: API'leri manuel olarak test etmek, kullanıcıların istek göndermesine, yanıtları incelemesine ve test koleksiyonları oluşturmasına olanak tanıyan popüler bir araç.
• REST-assured: REST API testlerini otomatikleştirmek için kullanılan bir Java kütüphanesi; istek göndermek ve yanıtları doğrulamak için akıcı bir arayüz sağlar.
• Swagger Inspector: API trafiğini incelemek ve OpenAPI spesifikasyonları oluşturmak için bir araç.
• JMeter: REST API'lerine yük simülasyonu yapmak ve yanıt sürelerini ve işlem hacimlerini ölçmek için kullanılabilecek bir performans testi aracı.
• Karate DSL: API test otomasyonunu, sahte servisleri (mock), performans testini ve hatta kullanıcı arayüzü otomasyonunu birleştiren açık kaynaklı bir API test otomasyon çerçevesi.

REST API Test Örneği

Bir kütüphanedeki kitapları yönetmek için bir REST API düşünün. API, kitapları oluşturmak, almak, güncellemek ve silmek için uç noktalar sağlar.

Örnek test senaryoları:

1. Yeni bir kitap oluşturma:
   • `/books` adresine JSON formatında kitap bilgileriyle bir POST isteği gönderin.
   • Yanıt durum kodunun 201 Created olduğunu doğrulayın.
   • Yanıt gövdesinin, benzersiz bir kimliğe sahip yeni oluşturulmuş kitabı içerdiğini doğrulayın.
2. Mevcut bir kitabı alma:
   • Alınacak kitabın kimliği ile `/books/{id}` adresine bir GET isteği gönderin.
   • Yanıt durum kodunun 200 OK olduğunu doğrulayın.
   • Yanıt gövdesinin kitap bilgilerini içerdiğini doğrulayın.
3. Mevcut bir kitabı güncelleme:
   • `/books/{id}` adresine JSON formatında güncellenmiş kitap bilgileriyle bir PUT isteği gönderin.
   • Yanıt durum kodunun 200 OK veya 204 No Content olduğunu doğrulayın.
   • Kitap bilgilerinin veritabanında güncellendiğini doğrulayın.
4. Mevcut bir kitabı silme:
   • Silinecek kitabın kimliği ile `/books/{id}` adresine bir DELETE isteği gönderin.
   • Yanıt durum kodunun 204 No Content olduğunu doğrulayın.
   • Kitabın veritabanından silindiğini doğrulayın.

GraphQL API Testi

GraphQL, API'ler için bir sorgu dili ve bu sorguları mevcut verilerle yerine getirmek için bir çalışma zamanıdır. Farklı kaynaklar için birden fazla uç nokta sunan REST API'lerinin aksine, GraphQL API'leri tek bir uç nokta sunar ve istemcilerin bir sorguda tam olarak ihtiyaç duydukları veriyi belirtmelerine olanak tanır.

GraphQL API Test Teknikleri

• Sorgu Testi:
  • Geçerli Sorgu: Geçerli bir GraphQL sorgusu göndermek ve yanıtın istenen veriyi içerdiğini doğrulamak.
  • Geçersiz Sorgu: Geçersiz bir GraphQL sorgusu göndermek ve API'nin uygun bir hata mesajı döndürdüğünü doğrulamak.
  • Alan Seçimi: API'nin her alan için doğru veriyi döndürdüğünden emin olmak için bir sorguda farklı alan kombinasyonlarını test etmek.
  • Takma Ad (Alias) Testi: Bir sorgudaki alanları yeniden adlandırmak için takma adlar kullanmak ve yanıtın takma ad verilmiş alanları içerdiğini doğrulamak.
• Mutasyon Testi:
  • Oluşturma Mutasyonu: Yeni bir kaynak oluşturmak için bir mutasyon göndermek ve kaynağın başarıyla oluşturulduğunu doğrulamak.
  • Güncelleme Mutasyonu: Mevcut bir kaynağı güncellemek için bir mutasyon göndermek ve kaynağın başarıyla güncellendiğini doğrulamak.
  • Silme Mutasyonu: Mevcut bir kaynağı silmek için bir mutasyon göndermek ve kaynağın başarıyla silindiğini doğrulamak.
• Abonelik (Subscription) Testi:
  • Abonelik Kurulumu: API'den gerçek zamanlı güncellemeler almak için bir abonelik oluşturmak.
  • Olay Tetikleme: Aboneliğin bir güncelleme göndermesine neden olması gereken bir olayı tetiklemek.
  • Güncelleme Doğrulaması: Aboneliğin beklenen güncellemeyi aldığını doğrulamak.
• Güvenlik Testi:
  • Kimlik Doğrulama Testi: API'nin sorguları ve mutasyonları yürütmek için uygun kimlik doğrulama bilgilerini gerektirdiğini doğrulamak.
  • Yetkilendirme Testi: Kullanıcıların yalnızca erişim yetkisine sahip oldukları verilere erişebildiğinden emin olmak.
  • Hız Sınırlama (Rate Limiting): Kötüye kullanımı ve hizmet reddi saldırılarını önlemek için API'nin hız sınırlama mekanizmasını test etmek.
• Performans Testi:
  • Sorgu Karmaşıklığı: Büyük miktarda veri talep eden karmaşık sorgularla API'nin performansını test etmek.
  • Toplu İşlem (Batching): API'nin toplu sorguları verimli bir şekilde işleme yeteneğini test etmek.
  • Önbellekleme (Caching): Performansı artırmak için API'nin önbellekleme mekanizmasını test etmek.

GraphQL API Test Araçları

GraphQL API'lerini test etmek için çeşitli araçlar mevcuttur:

• GraphiQL: GraphQL API'lerini keşfetmek ve test etmek için tarayıcı içi bir IDE.
• Apollo Client Developer Tools: GraphQL sorguları ve mutasyonları hakkında bilgi sağlayan bir tarayıcı uzantısı.
• Insomnia: Sorgu ve mutasyon göndermek için platformlar arası bir GraphQL istemcisi.
• Supertest: GraphQL API'leri dahil olmak üzere HTTP sunucularını test etmek için bir Node.js kütüphanesi.
• GraphQL Faker: GraphQL API'leri için gerçekçi sahte veriler oluşturmak için bir kütüphane.

GraphQL API Test Örneği

Bir e-ticaret mağazasındaki ürünleri yönetmek için bir GraphQL API düşünün. API, ürünleri almak için sorgular ve ürünleri oluşturmak, güncellemek ve silmek için mutasyonlar sağlar.

Örnek test senaryoları:

1. Bir ürünü alma:
   • Bir ürünü kimliğine göre almak için bir GraphQL sorgusu gönderin.
   • Yanıtın ürün bilgilerini içerdiğini doğrulayın.
2. Yeni bir ürün oluşturma:
   • Yeni bir ürün oluşturmak için bir GraphQL mutasyonu gönderin.
   • Yanıtın yeni oluşturulan ürün bilgilerini içerdiğini doğrulayın.
3. Mevcut bir ürünü güncelleme:
   • Mevcut bir ürünü güncellemek için bir GraphQL mutasyonu gönderin.
   • Yanıtın güncellenmiş ürün bilgilerini içerdiğini doğrulayın.
4. Mevcut bir ürünü silme:
   • Mevcut bir ürünü silmek için bir GraphQL mutasyonu gönderin.
   • Yanıtın ürünün silindiğini belirttiğini doğrulayın.

API Testi için En İyi Uygulamalar

Etkili API testi sağlamak için aşağıdaki en iyi uygulamaları göz önünde bulundurun:

• Testleri Otomatikleştirin: Manuel çabayı azaltmak ve test kapsamını iyileştirmek için API testlerini otomatikleştirin. REST-assured, Supertest veya Karate DSL gibi araçları kullanın.
• Erken ve Sık Test Edin: Hataları erken tespit etmek için API testini geliştirme yaşam döngüsüne entegre edin ve testleri sık sık çalıştırın.
• Gerçekçi Veri Kullanın: Gerçek dünya senaryolarını simüle etmek için testlerinizde gerçekçi veriler kullanın.
• Uç Durumları Test Edin: API'nin beklenmedik girdileri sorunsuz bir şekilde ele aldığından emin olmak için uç durumları ve sınır koşullarını test edin.
• Testleri Belgeleyin: Anlaşılmasını ve bakımını kolaylaştırmak için API testlerinizi belgeleyin.
• API Performansını İzleyin: Potansiyel sorunları belirlemek ve optimum performansı sağlamak için üretimdeki API performansını izleyin.
• Sözleşme Testi Kullanın: API'lerin sağlayıcılar ve tüketiciler arasında tanımlanan sözleşmeye uygun olmasını sağlamak ve entegrasyon sorunlarını önlemek için sözleşme testi (örneğin, Pact kullanarak) uygulayın.
• API Güvenliğini Göz Önünde Bulundurun: Güvenlik açıklarını belirlemek ve azaltmak için API güvenlik testine öncelik verin. Güvenlik konusundaki en iyi uygulamaları düzenli olarak gözden geçirin ve sızma testleri yapın.
• API Dokümantasyonunu Takip Edin: Her zaman API dokümantasyonuna uyun. Dokümantasyonla uyumlu ve onu doğrulayan testler oluşturun.

Sonuç

API testi, modern yazılım uygulamalarının güvenilirliğini, performansını ve güvenliğini sağlamak için hayati öneme sahiptir. REST ve GraphQL API'lerinin belirli özelliklerini anlayarak ve uygun test tekniklerini uygulayarak, kullanıcılarınızın ve paydaşlarınızın ihtiyaçlarını karşılayan sağlam ve güvenilir API'ler oluşturabilirsiniz. Otomatik testi, sözleşme testini ve güvenlik testini API geliştirme sürecinize dahil etmek, uygulamalarınızın kalitesini ve kararlılığını önemli ölçüde artıracaktır. Optimum sonuçlar elde etmek için uygun araçları ve en iyi uygulamaları kullanarak test stratejinizi projelerinizin özel gereksinimlerine ve kısıtlamalarına göre uyarlamayı unutmayın.

Kapsamlı API testine tutarlı bir şekilde yatırım yaparak, yazılım ekosisteminizin gelecekteki başarısına yatırım yapmış olursunuz.