Topp 50 API-testing intervjuspørsmål og svar (2026)

by: Thomas Hamilton Thomas Hamilton
Hours oppdatert

Forbereder du deg til et API-testintervju? Det er viktig å forutse hva slags spørsmål du kan møte. Uttrykket «{{keyword}}» gjenspeiler direkte dets betydning for å forme profesjonelle reiser og karrierevekst.

Mulighetene innen dette domenet spenner over teknisk erfaring og yrkeserfaring, og tilbyr enorm verdi for nyutdannede, erfarne, mellomnivå- og seniorfagfolk. Med sterk teknisk ekspertise, domeneekspertise og erfaring på rotnivå demonstrerer kandidatene sine analytiske ferdigheter, praktiske ferdigheter og evne til å samarbeide med teamledere, ledere og seniorer. En strukturert tilnærming til spørsmål og svar bidrar til å bestå grunnleggende, avanserte og levde ord, noe som sikrer at enkeltpersoner skiller seg ut når de jobber i feltet.

Basert på tilbakemeldinger fra mer enn 45 ledere og innsikt fra over 80 fagfolk, gjenspeiler denne artikkelen reelle ansettelsesmønstre. Dekningen inkluderer ulike perspektiver fra tekniske ledere, teamledere og seniorer på tvers av flere bransjer, noe som sikrer troverdighet og tillit.

De viktigste intervjuspørsmålene og svarene om API-testing

1) Hva er API-testing, og hvorfor er det viktig i moderne programvareutvikling?

API-testing refererer til prosessen med å verifisere om applikasjonsprogrammeringsgrensesnitt fungerer riktig, pålitelig, sikkert og effektivt. I motsetning til UI-testing, som fokuserer på front-end, validerer API-testing kommunikasjonen mellom ulike programvaresystemer på tjenestelaget. Dette sikrer sømløs datautveksling, integritet og ytelse for distribuerte applikasjoner.

Eksempel: I en e-handelsplattform håndterer API-er betalingsverifisering, lageroppdateringer og ordresporing. En feil i API-svar kan ødelegge hele brukerreisen, selv om brukergrensesnittet ser ut til å fungere. Dermed forhindrer API-testing kostbare integrasjonsfeil.

👉 Gratis PDF-nedlasting: Intervjuspørsmål om API-testing

2) Forklar de ulike typene API-er og deres praktiske bruksområder.

API-er kan klassifiseres i flere kategorier, som hver tjener forskjellige formål.

Type API Kjennetegn Eksempel på bruk
Web APIer Eksponert over HTTP/HTTPS; REST, SOAP, GraphQL Betalingsportaler, pålogginger til sosiale medier
Interne API-er Brukes i organisasjoner; ikke offentlig eksponert Integrasjon av HR-systemer
Offentlige APIer Åpen for eksterne utviklere med autentisering Google Map API
Sammensatte API-er Samle flere endepunkter i én forespørsel Bankapper som kombinerer konto- og transaksjonsforespørsler
Maskinvare APIer Aktiver kommunikasjon mellom maskinvare og programvare Kamera- eller Bluetooth-API-er i mobilapper

Konklusjon: Å velge riktig type API avhenger av sikkerhetskrav, skalerbarhet og forretningsmodellen.

3) Hvordan er REST-, SOAP- og GraphQL-API-er forskjellige fra hverandre?

Hvert API-paradigme har unike arkitekturprinsipper.

Trekk REST SOAP GraphQL
dannet JSON, XML Kun XML JSON
Fleksibilitet Høyt Streng Veldig høy
Læringskurve Moderat Steep Moderat
Ytelse Lett Heavy Effektiv (unngår over-/underhenting)
Trygghet SSL, OAuth WS-sikkerhet Token-basert

Eksempel: En finansinstitusjon kan bruke SOAP for sin sterke sikkerhet, mens en applikasjon for sosiale medier kan foretrekke GraphQL for fleksible spørringer.

4) Hvilke er de vanlige HTTP-metodene som brukes i API-testing?

HTTP-metoder definerer operasjonen et API-kall har til hensikt å utføre.

  • FÅ: Henter informasjon (f.eks. henter brukerprofil).
  • POST: Oppretter nye poster (f.eks. legger til et nytt produkt).
  • SETTE: Oppdaterer en eksisterende post fullstendig.
  • LAPP: Oppdaterer en post delvis.
  • SLETT: Fjerner en ressurs.

Eksempel: I et studentadministrasjonssystem kan GET hente studentdata, mens PUT kan oppdatere hele posten.

5) Hva er de ulike typene API-testing, og fordelene med dem?

API-testing er ikke begrenset til funksjonell validering, men omfatter også ikke-funksjonelle aspekter.

Typer inkluderer:

  • Funksjonell testing: Verifiserer logikk mot krav.
  • Lasttesting: Validerer ytelse under tung belastning.
  • Sikkerhetstesting: Sikrer beskyttelse mot trusler.
  • Pålitelighetstesting: Bekrefter jevn ytelse.
  • Valideringstesting: Kontrollerer at standarder overholdes.
  • Interoperabilitetstesting: Bekrefter kompatibilitet på tvers av plattformer.

Fordel: Denne lagdelte tilnærmingen sikrer ikke bare korrekthet, men også stabilitet og robusthet under reelle forhold.

6) Hvordan er API-testing forskjellig fra enhetstesting?

Enhetstesting utføres av utviklere på individuelle kodemoduler, mens API-testing utføres på integrasjonsnivå for å validere kommunikasjon.

Faktor API-testing Enhetstesting
Eierskap QA/Testere Utviklere
Omfang Ende-til-ende arbeidsflyter Enkeltmodul
Tilnærming Svart boks Hvit boks
timing Etter at bygget er klart Under utviklingen

Eksempel: Enhetstester kan bekrefte at en «calculateTax()»-funksjon fungerer som den skal, mens API-tester validerer at hele betalingstjenesten, inkludert skatteberegning og betaling, integreres sømløst.

7) Forklar livssyklusen til en API-forespørsel og -svar.

En API-livssyklus starter med en klientforespørsel sendt til et serverendepunkt. Serveren behandler forespørselen, samhandler med datalag, bruker forretningslogikk og returnerer deretter en svar i JSON- eller XML-format. Svaret inneholder statuskoder, overskrifter og en datanyttelast.

Eksempel: I et påloggings-API sender klienten legitimasjon. Serveren verifiserer den, genererer et token og svarer med statuskode 200 og tokendetaljer. Feil returnerer 401- eller 403-koder.

RELATERTE ARTIKLER

8) Hva er rollen til Postman i API-testing?

Postman er et av de mest brukte verktøyene for API-utvikling og -testing. Det lar testere designe, sende og automatisere API-forespørsler. Det støtter skripting, parameterisering, miljøadministrasjon og rapportgenerering.

Eksempel: QA-ingeniører kan opprette en testsamling i Postman for innlogging, ordreoppretting og betaling, og kjør dem deretter sekvensielt i CI/CD-pipelines.

9) Hvordan er API-dokumentasjon strukturert, og hvorfor er det avgjørende?

Velskrevet API-dokumentasjon sikrer at utviklere kan integrere API-er sømløst.

Nøkkelfaktorer inkluderer:

  • Oversikt over API-formålet.
  • Liste over endepunkter med eksempler på forespørsler/svar.
  • Autentiseringskrav.
  • Feilhåndtering og statuskoder.
  • Hastighetsgrenser og struping.

Eksempel: Stripes API-dokumentasjon regnes som bransjestandard fordi den gir eksempler på flere språk, noe som gjør integrasjonen enklere.

10) Kan du forklare forskjellen mellom API og webtjeneste?

Selv om de brukes om hverandre, er API-er og webtjenester fundamentalt forskjellige.

Aspekt API Nettjeneste
Definisjon Grensesnitt som muliggjør programvareinteraksjon API tilgjengelig over et nettverk
protokoller REST, GraphQL, RPC SÅPE, HVIL
Dataformater JSON, XML Kun XML (SOAP)
Bruk saken Integrasjon av mobilapper B2B-systemer på bedriftsnivå

11) Hva er et API-endepunkt, og hvorfor er det viktig?

Et endepunkt er en spesifikk URL som API-er bruker for å få tilgang til ressurser. Hvert endepunkt representerer en funksjon, for eksempel /users or /ordersEndepunkter definerer hvordan data blir tilgjengelige og manipulert, og danner ryggraden i systemintegrasjon.

Eksempel: I GitHubs API, GET /repos/{owner}/{repo} henter detaljer om repositoriet. Feilkonfigurerte endepunkter kan forårsake feil på tvers av avhengige applikasjoner.

12) Hvordan fungerer autentisering i API-testing, og hva er de vanlige metodene?

Autentisering sikrer at bare autoriserte klienter har tilgang til API-er. Vanlige metoder inkluderer:

  • API-nøkler: Unike nøkler inkludert i overskrifter.
  • OAuth 2.0: Sikker delegering av tilgang (brukes av Google/Facebook-innlogging).
  • JWT (JSON Web Tokens): Statsløse tokener lagret på klientsiden.
  • Grunnleggende autentisering: Kodet brukernavn/passord.

Eksempel: Twitter API-er bruker OAuth 2.0 for sikre tredjepartsintegrasjoner.

13) Forklar rollen til overskrifter i API-forespørsler og -svar.

Overskrifter inneholder metadata som innholdstype, autentisering eller hurtigbufferpolicyer. For eksempel, Content-Type: application/json indikerer nyttelastformatet, mens Authorization: Bearer <token> gir legitimasjon. Riktig headerhåndtering sikrer konsistens og sikkerhet i API-kommunikasjon.

14) Hva er API-mocking, og når bør det brukes?

Mocking simulerer API-svar før den faktiske backend-funksjonen er tilgjengelig. Det muliggjør parallell utvikling og testing. Verktøy som WireMock og Mockoon er mye brukt.

Eksempel: Hvis betalingsgatewayen ikke er distribuert ennå, kan et mock-API returnere dummy-svar, slik at testere kan fortsette med validering av betalingsflyten.

15) Hvordan brukes HTTP-statuskoder i API-testing?

Statuskoder gir umiddelbar innsikt i forespørselsresultater.

Kodeområde Betydning Eksempel
2xx Suksess 200 OK
3xx Omdirigering 302 funnet
4xx Klientfeil 404 Not Found
5xx Serverfeil Internal Server Error 500

Eksempel: Under negativ testing skal sending av ugyldige påloggingsinformasjoner føre til 401 Unauthorized.

16) Kan du forklare inputvalidering i API-er og betydningen av dette?

Validering av inndata sikrer at bare gyldige, rensede data kommer inn i systemet. Det beskytter mot angrep som SQL-injeksjon og sikrer dataintegritet.

Eksempel: Et API for brukerregistrering bør avvise ugyldige e-postformater og rense spesialtegn for å forhindre injeksjonsangrep.

17) Hva er negativ testing i forbindelse med API-er?

Negativ testing bekrefter at API-er håndterer ugyldige forespørsler på en grei måte. Eksempler inkluderer:

  • Sender inn en POST-forespørsel med manglende parametere.
  • Bruker et utløpt autentiseringstoken.
  • Sender feilformatert JSON.

Denne praksisen sikrer robusthet og forhindrer datakorrupsjon.

18) Hvordan håndteres versjonering i API-er, og hvorfor er det viktig?

Versjonskontroll sikrer bakoverkompatibilitet etter hvert som API-er utvikles. Vanlige tilnærminger inkluderer:

  • URI-versjonering: /v1/orders, /v2/orders.
  • Headerbasert versjonering: Accept: application/vnd.api.v2+json.
  • Versjonskontroll av spørringsparametere.

Eksempel: Facebook har flere API-versjoner for å unngå å ødelegge eksisterende apper når nye funksjoner introduseres.

19) Hva er API-ytelsestesting, og hvilke faktorer måles?

API-ytelsestesting evaluerer hastighet, skalerbarhet og pålitelighet.

Faktorer som måles inkluderer:

  • Responstid.
  • Gjennomstrømning (forespørsler/sek).
  • Ventetid.
  • Feilrater under belastning.

Eksempel: I bank-API-er kan en forsinkelse på ett sekund påvirke millioner av transaksjoner, noe som gjør ytelsestesting kritisk.

20) Hva er API-overvåking, og hva er fordelene?

API-overvåking sporer kontinuerlig oppetid, tilgjengelighet og responstider. Fordelene inkluderer tidlig deteksjon av driftsavbrudd, proaktiv skalering og forbedret brukertillit. Verktøy som Grafana, Datadog og Postman Skjermer brukes ofte.

21) Hva er API-virtualisering, og hvordan hjelper det testere?

Virtualisering skaper en simulert versjon av et API som etterligner reell atferd. Det reduserer avhengigheten av live-systemer, støtter tidlig testing og muliggjør ytelsesvalidering uten reelle kostnader.

Eksempel: Flyselskaper bruker virtualiserte API-er for å teste bestillingssystemer uten å treffe live-servere.

22) Hvordan designer du effektive API-testtilfeller?

Godt strukturerte testtilfeller inkluderer:

  • Test-ID og mål.
  • Endepunkt og metode.
  • Forespør nyttelast og overskrifter.
  • Forventet svar og statuskode.
  • Valideringstrinn.

Eksempel: For et «Opprett bruker»-API bør testtilfeller validere suksess med gyldige data, håndtere dupliserte oppføringer og avvise ugyldige formater.

23) Hvilke vanlige feil oppdages under API-testing?

API-testing avslører ofte:

  • Manglende eller duplisert funksjonalitet.
  • Dårlig feilhåndtering.
  • Ytelsesflaskehalser.
  • Sikkerhetssårbarheter.
  • Problemer med flertråding.

Eksempel: Et API kan mislykkes i å returnere riktige feilmeldinger, noe som forvirrer nedstrømssystemer.

24) Forklar sikkerhetstesting i API-er og hvorfor det er kritisk.

Sikkerhetstesting identifiserer sårbarheter som uautorisert tilgang, injeksjonsangrep eller datalekkasjer. Teknikker inkluderer penetrasjonstesting, fuzzing og sårbarhetsskanning.

Eksempel: Et usikkert bank-API som eksponerer kontodetaljer kan føre til enorme økonomiske tap, noe som understreker behovet for robuste sikkerhetskontroller.

25) Hva er vanlige sårbarheter i API-er, og hvordan håndteres de?

  • SQL-injeksjon: Forhindret med parameteriserte spørringer.
  • Cross-Site Scripting (XSS): Forebygges ved å desinfisere innganger.
  • CSRF (forfalskning av forespørsler på tvers av nettsteder): Forhindret bruk av CSRF-tokener og SameSite-informasjonskapsler.
  • Brudd på autentisering: Løst gjennom sterk tokenhåndtering.

26) Hva er API-kontraktstesting og fordelene med det?

Kontraktstesting validerer at API-er overholder et forhåndsdefinert skjema eller en forhåndsdefinert kontrakt. Det sikrer konsistens og forhindrer endringer som ikke fungerer når API-er utvikler seg.

Fordeler:

  • Oppdager avvik tidlig.
  • Muliggjør parallell utvikling.
  • Garanterer bakoverkompatibilitet.

Eksempel: Paktrammene er mye brukt for kontraktstesting.

27) Hvordan håndterer du API-regresjonstesting effektivt?

Regresjonstesting fokuserer på å revalidere kritiske API-er etter kodeendringer. Prioritet bør gis til API-er med høy bruk, de med nylige endringer og sikkerhetssensitive endepunkter. Automatisering med verktøy som REST-assured eller Postman samlinger sikrer effektivitet.

28) Hva er API-livssyklushåndtering, og hvorfor er det viktig?

API-livssyklusen omfatter design, utvikling, testing, distribusjon, overvåking, versjonering og utfasing. Riktig livssyklushåndtering sikrer at API-er forblir sikre, skalerbare og i tråd med forretningsbehov.

Eksempel: Organisasjoner bruker plattformer som Apigee å administrere API-er gjennom hele livssyklusen deres.

29) Hvilke verktøy er mye brukt for API-testautomatisering?

Populære verktøy inkluderer:

  • Postman for funksjonell og automatisert testing.
  • Trygg på å være trygg forum Java-basert testing.
  • Katalon Studio for kodeløs testing.
  • såpeUI for SOAP- og REST-API-er.
  • JMeter for ytelsestesting.

30) Hvordan sikrer du at feilhåndteringen i API-testing er effektiv?

Effektiv feilhåndtering krever verifisering av:

  • Korriger HTTP-statuskoder.
  • Tydelige, beskrivende feilmeldinger.
  • Ingen eksponering av sensitive data.
  • Konsekvent feilstruktur på tvers av endepunkter.

Eksempel: A 500 Internal Server Error skal ikke returnere stakkspor, men en brukervennlig feilmelding.

31) Hva er fordelene og ulempene med API-testing sammenlignet med UI-testing?

Faktor API-testing UI -test
Speed Raskere Langsommere
Dekning Backend-logikk Visuelt grensesnitt
Vedlikehold Lettere Complex
Ulempe Krever tekniske ferdigheter Fanger opp brukergrensesnittspesifikke feil

32) Hvordan kan du sikre API-skalerbarhet og pålitelighet?

Skalerbarhet sikres gjennom belastningstesting, mellomlagringsstrategier og effektive databasespørringer. Pålitelighet kommer fra konsekvent feilhåndtering, redundans og overvåkingssystemer.

Eksempel: Netflix bruker API-gatewayer og mellomlagring for å håndtere milliarder av daglige API-kall pålitelig.

33) Hva er de viktigste faktorene å vurdere når du velger et API-testverktøy?

  • Støttede protokoller (REST, SOAP, GraphQL).
  • Enkel integrering med CI/CD.
  • Rapporterings- og analysemuligheter.
  • Støtte og dokumentasjon fra lokalsamfunnet.

Eksempel: Lagene har investert mye i Java velger ofte REST-assured, mens QA-team i bedrifter foretrekker SoapUI for SOAP-støtte.

34) Hvordan håndterer du avhengigheter i API-testing?

Avhengigheter håndteres ved hjelp av stubber, mock-filer eller virtualisering for å isolere komponenter. I tillegg må rekkefølgen for utførelse og dataoppsett tas i betraktning.

Eksempel: Testing av et «Order Placement API» kan kreve at man simulerer en betalingsgateway-avhengighet.

35) Kan API-er hackes under testing, og hvordan kan risikoer reduseres?

Ja, usikre API-er kan eksponere data under testing. Tiltak for å redusere dette inkluderer å gjennomføre tester i isolerte miljøer, bruke HTTPS, sikre tokens og begrense tilgang. Beste sikkerhetspraksis må alltid følges.

36) Hvordan går du frem med grenseverdianalyse (BVA) i API-testing?

BVA innebærer testing av inndata ved kantforhold. Hvis for eksempel en aldersparameter godtar verdier fra 18 til 60, test med 17, 18, 60 og 61. Dette sikrer at API-et håndterer grenser riktig.

37) Hva er interoperabilitetstesting i forbindelse med API-er?

Interoperabilitetstesting sikrer at API-er fungerer sømløst på tvers av plattformer, enheter eller tredjepartssystemer.

Eksempel: Et reise-API må integreres med flere flyselskapers bestillingssystemer uten feil.

38) Hvordan implementeres logging og overvåking i API-er?

Logging fanger opp detaljer om forespørsler/svar, mens overvåking analyserer dem for avvik. Logger hjelper med feilsøking, mens overvåking sikrer proaktive varsler. Verktøy som ELK Stack, Splunk og Prometheus brukes ofte.

39) Hva er fordelene med å automatisere API-tester?

  • Raskere utførelse.
  • Konsekvent regresjonsdekning.
  • Enkel integrering med CI/CD-pipelines.
  • Støtter storskala testing.

Ulempe: Førstegangsoppsett krever investering i ferdigheter og rammeverk.

40) Hvordan prioriterer du API-testtilfeller under intervjuer eller prosjekter?

Prioritering er basert på kritiskhet for virksomheten, bruksfrekvens, historikk med feil og sikkerhetsfølsomhet. API-er med høy risiko testes først for å minimere potensiell påvirkning.

41) Hvordan forbedrer GraphQL API-er effektiviteten sammenlignet med REST?

GraphQL er et spørrespråk som lar klienter be om nøyaktig de dataene de trenger, verken mer eller mindre. I motsetning til REST, som ofte krever flere endepunkter for å hente relaterte data, tilbyr GraphQL et enkelt endepunkt der klienten definerer formen på svaret.

Fordelene inkluderer:

  • Eliminerer overhenting (mottak av unødvendige data).
  • Unngår underhenting (trenger flere anrop).
  • Forbedrer ytelsen i mobile miljøer og miljøer med lav båndbredde.

Eksempel: I REST kan det kreve to API-kall for å hente en brukerprofil og innleggene deres. I GraphQL kan én enkelt spørring hente begge samtidig.

42) Hva er utfordringene med API-hastighetsbegrensning og -regulering?

Hastighetsbegrensning begrenser antall forespørsler en klient kan gjøre i en gitt tidsramme, mens begrensning reduserer hastigheten på forespørsler utover en viss terskel. Disse fremgangsmåtene forhindrer overbelastning og misbruk av serveren.

Utfordringer inkluderer:

  • Utforme rettferdige grenser uten å forstyrre legitime brukere.
  • Håndterer eksplosiv trafikk på en elegant måte.
  • Kommunisere grenser gjennom overskrifter som X-Rate-Limit-Remaining.
  • Sørge for at kritiske tjenester ikke blokkeres utilsiktet.

Eksempel: Twitters offentlige API-er håndhever strenge hastighetsgrenser for å beskytte infrastruktur, noe som ofte krever at utviklere optimaliserer forespørselsstrategier.

43) Kan du forklare faktorer som påvirker API-skalerbarhet?

API-skalerbarhet er et APIs evne til å håndtere økende trafikk uten forringelse. Flere faktorer påvirker skalerbarheten:

  • Effektiv design: Bruk paginering, mellomlagring og asynkron behandling.
  • infrastruktur: Distribuer API-er på belastningsbalanserte klynger.
  • Databaseoptimalisering: Indeksering og spørringsoptimalisering reduserer responstider.
  • Statsløshet: REST API-er er iboende statsløse, noe som muliggjør enkel skalering.

Eksempel: Netflix håndterer milliarder av daglige API-forespørsler ved å bruke en mikrotjenestearkitektur med API-gatewayer og global CDN-distribusjon.

44) Hvordan opprettholdes dataintegriteten under API-transaksjoner?

Dataintegritet sikrer at informasjonen som utveksles forblir nøyaktig, konsistent og fullstendig.

Metoder inkluderer:

  • Valideringsregler: Håndheving av begrensninger på API- og databasenivå.
  • Transaksjonelle API-er: Bruk av syre (Atomegenskaper (eiendom, konsistens, isolasjon, holdbarhet).
  • Idempotens: Sørg for at gjentatte forespørsler gir samme resultat.
  • Sjekksummer/hasher: Verifisering av at overførte data ikke har blitt tuklet med.

Eksempel: Betalings-API-er bruker ofte idempotensnøkler for å forhindre dupliserte belastninger under nye forsøk.

45) Hva er forskjellen mellom synkrone og asynkrone API-kall?

SyncChroniske anrop krever at klienten venter på at serveren skal svare før den fortsetter, mens asynkrone anrop lar klienten fortsette uten å vente.

Aspekt Syncærefull asynkron
Behavior blokkerer Ikke-blokker
Bruksmåter Betalingsbekreftelse, påloggingsautentisering Varsler, bakgrunnsoppgaver
Eksempel REST API GET-forespørsel WebSockets, meldingskøer

Eksempel: En hotellbestillingsbekreftelse må være synkron, men sending av en bestillingsbekreftelses-e-post kan være asynkron.

46) Forklar rollen til API-gatewayer i mikrotjenester.

En API-gateway fungerer som et enkelt inngangspunkt for mikrotjenester, administrasjon av forespørsler, autentisering, ruting og overvåking.

Funksjonene inkluderer:

  • Lastbalansering: Fordeler forespørsler mellom tjenester.
  • Sikkerhetshåndhevelse: Validerer tokener og bruker hastighetsgrenser.
  • Protokolloversettelse: Konverterer mellom REST, gRPC eller WebSockets.
  • Sentralisert logging: Forenkler overvåking på tvers av tjenester.

Eksempel: Amazon API Gateway administrerer trafikk mellom front-end-apper og AWS-mikrotjenester, noe som reduserer kompleksiteten for utviklere.

47) Hvordan integrerer CI/CD-pipelines API-testing?

API-testing kan automatiseres innenfor CI/CD-pipelines for å sikre at endringer ikke ødelegger funksjonaliteten.

Integrasjonstrinn:

  • Enhets- og API-tester: Utløses automatisk ved kodeinnlegg.
  • Regresjonssuiter: Utført før utplassering.
  • Ytelsestester: Inkludert i oppsamlingsmiljøer.
  • Rapporter: Generert og delt via dashbord.

Eksempel: Jenkins-pipelines integreres ofte med Postman eller REST-sikrede testsuiter for å validere API-er før sammenslåing av pull-forespørsler.

48) Hva er ulempene med dårlig skrevet API-dokumentasjon?

Dårlig dokumentasjon øker onboarding-tiden, skaper integrasjonsfeil og frustrerer utviklere.

Ulemper inkluderer:

  • Tvetydige beskrivelser av endepunkter fører til misbruk.
  • Manglende autentiseringsinstruksjoner kompromitterer sikkerheten.
  • Mangel på eksempler øker prøving og feiling.
  • Inkonsekvente oppdateringer forårsaker avvik mellom kode og dokumentasjon.

Eksempel: Et finansielt tjenesteselskap med ufullstendige API-dokumentasjoner møtte gjentatte henvendelser fra utviklere, noe som forsinket tredjepartsadopsjonen med flere uker.

49) Hvordan sikrer dere at API-er overholder GDPR og personvernlover?

Samsvar med GDPR krever API-er for å beskytte personopplysninger gjennom hele livssyklusen.

Beste fremgangsmåter inkluderer:

  • Dataminimering: Samle bare inn nødvendig informasjon.
  • kryptering: Bruk HTTPS/TLS og krypter sensitive felt.
  • Samtykkehåndtering: Bekreft at brukerens samtykke er registrert.
  • Rett til å bli glemt: Oppgi endepunkter for å slette brukerdata.
  • Loggføringsregler: Anonymiser logger for å unngå unødvendig lagring av personlig identifiserende informasjon.

Eksempel: Helse-API-er anonymiserer pasientdata ved hjelp av tokenisering for å overholde HIPAA og GDPR samtidig.

50) Hvilke strategier for livssyklushåndtering bidrar til å forhindre API-foreldelse?

API-foreldelse oppstår når eldre versjoner blir ubrukelige eller ikke støttes.

Strategier inkluderer:

  • Versjon: Oppretthold bakoverkompatibilitet med tydelige tidslinjer for avskrivning.
  • Overvåkingsbruk: Identifiser populære endepunkter før fjerning.
  • Avskrivningsvarsler: Gi utviklere forhåndsvarsler.
  • Dokumentasjonsoppdateringer: Sørg for at nye versjoner er godt dokumentert.
  • Styringspolicyer: Regelmessige revisjoner av API-er for å samsvare med forretningsmål.

Eksempel: Google Maps API avvikler gamle versjoner gradvis, noe som gir utviklere god tid til å migrere.

🔍 De beste intervjuspørsmålene om API-testing med virkelige scenarioer og strategiske svar

Her er 10 nøye utformede spørsmål med eksempelsvar som blander kunnskapsbaserte, atferdsmessige og situasjonsbestemte formater. Disse er realistiske for profesjonelle intervjuer med fokus på API-testing.

1) Hva er de viktigste forskjellene mellom API-testing og UI-testing?

Forventet fra kandidaten: Intervjueren vil se om du forstår kjerneformålet med API-testing og hvordan det skiller seg fra front-end-validering.

Eksempel på svar:
«API-testing fokuserer på å verifisere forretningslogikken, dataresponsene og ytelsen til backend-tjenestene uten å stole på brukergrensesnittet. UI-testing, derimot, sjekker hvordan sluttbrukeren samhandler visuelt med applikasjonen. API-testing er raskere, mindre skjør og kan gjøres tidlig i utviklingssyklusen, mens UI-testing er mer avhengig av at frontend er ferdig utviklet.»

2) Hvordan sikrer du at API-tester forblir pålitelige når backend-tjenestene endres ofte?

Forventet av kandidaten: Intervjueren ønsker å vurdere tilpasningsevne, testdesignpraksis og håndtering av dynamiske systemer.

Eksempel på svar:
«I min forrige rolle sørget jeg for testpålitelighet ved å bruke skjemavalidering, parameteriserte forespørsler og miljøspesifikke konfigurasjoner. Jeg samarbeidet også tett med utviklere for å samkjøre testtilfeller med utviklende endepunkter og implementerte kontraktstesting for å bekrefte forventet oppførsel uten å være avhengig av brukergrensesnittet.»

3) Kan du forklare forskjellen mellom SOAP- og REST-API-er når det gjelder testing?

Forventet fra kandidaten: De vil vite om du kan differensiere protokoller og skreddersy testingen deretter.

Eksempel på svar:
«REST API-er bruker lette formater som JSON og er avhengige av HTTP-metoder som GET, POST, PUT og DELETE. Testing av REST API-er er ofte enklere og raskere. SOAP API-er bruker XML og kommer med strengere standarder som WSDL-definisjoner, noe som betyr at testing krever håndtering av strukturerte forespørsler og mer validering. SOAP-testing krever også mer oppsett, mens REST er mer fleksibelt og bredt tatt i bruk.»

4) Fortell meg om en gang du oppdaget et kritisk problem under API-testing. Hvordan håndterte du det?

Forventet fra kandidaten: Dette evaluerer dine problemløsningsevner og kommunikasjonsevner.

Eksempel på svar:
«I min forrige jobb oppdaget jeg at et API-endepunkt returnerte sensitive kundedata uten skikkelig autentisering. Jeg dokumenterte umiddelbart problemet med detaljerte forespørsels- og svarlogger, eskalerte det til sikkerhetsteamet og samarbeidet med utviklere for å reprodusere og oppdatere sårbarheten. Denne proaktive kommunikasjonen forhindret et potensielt datainnbrudd.»

5) Tenk deg at du tester et API som integreres med en tredjepartstjeneste. Hvilke utfordringer kan du møte, og hvordan ville du adressere dem?

Forventet fra kandidaten: De vil se hvordan du forutser og reduserer integrasjonsrisikoer.

Eksempel på svar:
«Avhengigheter fra tredjeparter kan forårsake utfordringer som hastighetsbegrensninger, nedetid og versjonsinkompatibilitet. Jeg ville adressert disse ved å bruke mock-versjoner eller stubber under utvikling, implementere nye forsøk og fallback-versjoner, og overvåke svar mot forventede SLA-avtaler. Jeg ville også sørget for at kontrakter valideres regelmessig, slik at integrasjonsproblemer oppdages tidlig.»

6) Hvordan validerer du ytelsen til et API?

Forventet fra kandidaten: De vil høre om målingene og verktøyene du bruker.

Eksempel på svar:
«I min forrige rolle brukte jeg verktøy som JMeter og Postman å utføre belastnings- og stresstesting på API-er. Jeg validerte ytelsen ved hjelp av målinger som responstid, gjennomstrømning, latens og feilrater. Jeg satte også ytelsesgrunnlinjer og opprettet varslingsterskler for raskt å oppdage forringelse i produksjonsmiljøer.

7) Beskriv en situasjon der du måtte teste API-er under en svært stram tidsfrist. Hvordan prioriterte du?

Forventet fra kandidaten: De ønsker å måle dine ferdigheter innen tidsstyring og prioritering.

Eksempel på svar:
«I en tidligere stilling hadde vi en produktlansering med et begrenset testvindu. Jeg prioriterte testing ved å fokusere på forretningskritiske API-er først, som betalingsbehandling og autentisering. Jeg automatiserte regresjonssjekker for stabile endepunkter og kjørte manuelle tester for nye funksjoner. Denne balansen tillot meg å dekke viktig funksjonalitet samtidig som jeg overholdt lanseringstidslinjen.»

8) Hva er noen vanlige API-autentiseringsmetoder, og hvordan ville du teste dem?

Forventet fra kandidaten: Dette tester din sikkerhetsbevissthet og praktiske testkunnskaper.

Eksempel på svar:
«Vanlige metoder inkluderer grunnleggende autentisering, API-nøkler, OAuth 2.0 og JWT-tokener. For å teste dem validerer jeg tokengenerering og -utløp, sjekker om ugyldige eller utløpte tokener blir avvist på riktig måte, og sørger for at legitimasjon aldri eksponeres i logger eller feilmeldinger. For OAuth-flyter simulerer jeg både gyldige og ugyldige brukerscenarier for å bekrefte sikkerhetshåndtering.»

9) Hvordan samarbeider dere med utviklere når det er uenighet om hvorvidt en API-feil er gyldig?

Forventet fra kandidaten: De ønsker å teste konfliktløsnings- og kommunikasjonsferdigheter.

Eksempel på svar:
«Jeg tror på å støtte diskusjoner med data. Jeg gir tydelig testbevis, som for eksempel nyttelaster for forespørsler, svarkoder og logger, for å støtte funnene mine. Hvis det fortsatt er uenighet, involverer jeg produkteiere for å avklare forventet forretningsatferd. Dette sikrer samsvar og unngår langvarige konflikter.»

10) Hvordan ville du undersøke dette hvis et API returnerer inkonsistente data mellom staging og produksjon?

Forventet fra kandidaten: De ønsker å se strukturert problemløsning.

Eksempel på svar:
«Jeg ville startet med å sammenligne konfigurasjonsfiler og miljøvariabler mellom staging og produksjon. Deretter ville jeg validert at begge miljøene bruker samme databaseskjema og tjenesteversjoner. Hvis problemet vedvarer, ville jeg fanget logger fra begge miljøene, analysert forespørselshoder og nyttelaster, og samarbeidet med DevOps for å spore nettverks- eller mellomlagringsforskjeller.»

Oppsummer dette innlegget med: