🔓 开放银行API测试

06-04 | 金融科技测试OpenAPIOAuth2.0FAPI

📌 一句话概括

开放银行通过标准化API将银行数据和服务开放给第三方，API测试不仅需要验证功能和性能，更要重点关注OAuth 2.0授权流程、FAPI安全规范和API版本兼容性。

💡 API测试全景

测试维度	测试范围	工具/规范
授权流程	OAuth 2.0授权码流程、Token刷新、权限范围验证	OAuth 2.0 Test Suite、Postman
安全防护	JWT签名、mTLS双向认证、FAPI合规检查	OWASP ZAP、FAPI Conformance Suite
接口功能	账户查询、交易发起、对账单下载等核心API	OpenAPI Spec验证、契约测试
性能压测	并发TPS、响应时间、限流策略验证	JMeter、K6、Gatling
版本兼容	API版本号管理、废弃字段处理、降级策略	语义化版本、兼容性矩阵测试

🔍 重点测试场景

1. OAuth 2.0 授权流程测试

授权码流程：重定向URI校验、state参数防CSRF、code一次性使用验证
Token管理：Access Token过期刷新、Refresh Token轮换、Token撤销
权限范围：最小权限原则验证——检查第三方是否只能访问授权的资源范围
异常流程：用户拒绝授权、Token过期、无效client_id等异常响应验证

2. FAPI安全规范测试

JWT验证：签名算法（RS256/ES256）、过期时间、iss/aud声明验证
mTLS认证：客户端证书验证、证书链校验、证书吊销检查
请求对象：PAR（Pushed Authorization Request）模式、JAR规范
CIBA：客户端发起的后通道认证——适合解耦交互场景

⚠️ 常见坑点

Token泄露：日志中打印Access Token或Refresh Token——需配置日志脱敏规则
接口版本不兼容：新版本API废弃字段导致第三方调用失败——提前通知+灰度发布+回退机制
限流误伤：全局限流策略误伤正常高频调用方——基于client_id粒度的差异化限流
证书管理混乱：mTLS证书过期导致全部API不可用——证书到期自动提醒+轮换流程

← ← 风控系统测试数字人民币测试 → →