api
5 статей
-
Rate limiting — как тестировать лимиты, о которых вспоминают после инцидента
Пока никто не долбит API, кажется, что лимиты не нужны — их отсутствие незаметно ровно до первого инцидента. Разбор от первого лица: лимит как контракт двух сторон (сервер ограничивает — клиент переживает), граница N/N+1 и честный 429 с Retry-After, скоуп ключа и как лимитом по аккаунту устраивают DoS жертве, burst на стыке окон, обходы через X-Forwarded-For и соседние эндпоинты, зоны, где лимит обязан быть (OTP, reset, промокоды), и почему «лимиты выключены на стейдже» = непротестированный прод.
-
Мок-серверы для QA: WireMock и компания — когда подменять зависимость заглушкой
Когда внешнюю зависимость нельзя или не нужно поднимать реально — её мокают. Зачем мокать, что умеет хороший мок-сервер (стабы, fault injection, record/replay, verify), инструменты WireMock/MockServer/Mockoon/Prism/Hoverfly, мок vs Testcontainers, контрактный дрейф и Pact. Чек-лист на 10 пунктов.
-
Idempotency и retry-storms — что должен тестировать QA в distributed systems
Самый дорогой класс багов в payments — «прошло два раза». Гайд по идемпотентности глазами QA: Idempotency-Key, 5 типовых retry-сценариев, что такое retry storm, тулзы (WireMock, Toxiproxy, k6), чек-лист на 13 пунктов.
-
OWASP API Security Top 10 для QA — гайд с тест-кейсами
Большинство QA знают про SQL injection и XSS. При этом 90% уязвимостей в современных продуктах живут в API, а OWASP API Top 10 2023 — отдельный список, в QA-курсах его не разбирают. Все 10 угроз с тест-кейсами, curl-запросами и инструментами.
-
API-тулы для QA в 2026 — Postman, Bruno, Insomnia, Hurl: что когда выбирать
Сравнение четырёх API-инструментов по параметрам, которые имеют значение в реальной QA-работе. Postman ушёл в облако, Bruno вырос как git-friendly альтернатива, Hurl закрыл CI-нишу.