Есть у меня тестовое задание, один из пунктов найти баг юзабилити или бизнес-логики. И баг, который больше приближен к бизнес-логике лучше оценивается.

И я нашел ошибку в том, что один номер телефона можно подтвердить с нескольких аккаунтов, я же проверил это на трёх аккаунтах.

У меня возник вопрос, да, это без спору серьёзный баг(если я не ошибаюсь), можно ли отнести этот баг к багу бизнес-логики? Ведь это, мало того, что может доставить неудобства пользователю, когда на его номер будут приходить смс с кодом, а он об этом ни слухом, ни духом, так под сомнение может попасть безопастность сервиса(по моему мнению).

Подтверждение происходит уже в кабинете пользователя, логин происходит по имейлу. Телефонный номер нужен для получения уведомлений( в виде звонков и смс). Если кому-то и удасться взять в руки чужой телефон и подтвердить код, то владельцу телефону будет не круто получать чужие уведомления.

Давайте продолжим рассуждать.

А как система должна работать, по вашему мнению?

По моему мнению, если один пользователь уже подтвердил конкретный телефонный номер с помощью смс, то когда другой пользователь вводит тот же номер, система должна возвращать сообщение о том, что данный номер уже используется. А не давать возможность отправить смс с кодом на номер, который уже занят.

а что если пользователь захотел завести несколько аккаунтов на один телефон? 

Хм.. Идея вполне имеет место быть. Но все равно меня что-то тревожит, что в данном сервисе так не должно быть.

 

 

То есть, нам не обязательно проводить негативное тестирование внешного АПИ, достаточно удостовериться, что все работает правильно?

 

 

Давайте еще раз убедимся что понимаем друг друга верно:

1. Ваше внутреннее АПИ - это ендпоинты, предназначенные для работы внутри вашего приложения --- Тестировать важно
   1. Проверяется работоспособность АПИ внутри вашего приложения
2. Ваше внешнее АПИ - это ендпоинты, предназначенные для работы с вашим приложением извне(например, если почта или платежная система, это вы) --- Тестировать очень важно
   1. Проверяется работоспособность АПИ как внутри вашего приложения, так и с приложениями извне. Чтобы системы извне могли успешно работать с вашими "ручками", при этом не имея возможность вам навредить или получить закрытую информацию
3. Публичное АПИ(не ваше, то есть АПИ почты. кинотеатра, платежной системы, и тд, которые вы как-то используете) - это ендпоинты third-part системы, предназначенные для использования в каких-то целях --- Как правило не тестируется
   1. Потому что это third-part система, а их не тестируют. Вы ж Джиру или Гит не тестируете :)

Сложно ли понять на практике, где наш АПИ, а где сторонний?

 

 

Как правило на проектах используется какой-то инструмент для документирования API(такие как Swagger, например), который позволяет увидеть все ваши ендпоинты, их схемы и используемые модели. А сторонний АПИ, ну, он вам не принадлежит, и не входит в список ваших апишек, так что думаю да, разработчики ваши с этим трудностей испытать не должны :)

 

Вы так четко все объясняете. Курсы ведете какие-то?)

 

 

Нет, просто работаю в этой теме и интересуюсь :)

 

 

Когда я вел с вами эту беседу - еще очень мало знал об API.

Сейчас я пересмотрел множество видеоуроков и уже примерно понял что и к чему. Спасибо вам большое за то, что уделили мне своё время :)

 

Ммммм, а сами-то что? Как процесс гугления, уже не в моде? Что вы уже нашли/узнали/сделали по этим вопросам?

https://www.youtube....естирование api

Да пока собственно не понятно что делать с этим самым сваггером, а именно с содержимым этого самого файла... Мне бы пример какой нибудь, с аналогичной ситуацией - что у нас есть какой то файл, описывающий api, затем берется какая то программа типа постмана, какие то запросы шлем куда то и так далее... А так, что находил в интернете, все не то, либо скорее всего не правильно ищу

 

Посмотрите видеоролики о тестировании API и тогда более-менее будет понятно.

Значит играю сo SWAPI(API о вселенной Звездных Войн) и хочу получить фильм по GET-запросу. Вроде бы все просто, в документации написано, что найти фильм можно по атрибуту title. Окей, без проблем. Делаю значит следующий запрос: http://swapi.dev/api/films/?search=A New Hope

Но сервер возвращает мне следующее 

{

Что я делаю не так, подскажите, пожалуйста?

GET /api/films/?search=A%20New%20Hope

Спасибо большое. Что это за магия?) Вместо пробелов ставить "%20"?

 

 

GET /api/films/?search=A%20New%20Hope

Спасибо большое. Что это за магия?) Вместо пробелов ставить "%20"?

 

Нормальной доки на русском что-то не гуглится, начните с wiki https://en.wikipedia...ercent-encoding

 

Буду знать, спасибо большое :)

Есть у меня баг при создании ивента: если не загрузить картинку для ивента, то ивент не создастся.

Первый раз система мне отказала, я записал данные:

Потом система приняла и создала ивент, я записал данные:

После этого, я опять ввел первые даные, которые система сначало не приняля и отказал в создании ивента(из первого спойлера), и в этот раз она их приняла.

Как выследить этот баг?