2026年自带接口测试题及答案

2026年自带接口测试题及答案

一、单项选择题（每题2分，共20分）1.在HTTP/3中，负责实现多路复用与头部压缩的核心协议是A.TCPB.QUICC.TLSD.SCTP2.当接口返回状态码451时，其标准含义为A.请求超时B.非法参数C.因法律原因不可用D.网关错误3.在RESTful设计中，对同一资源执行部分更新应优先选用A.PUTB.PATCHC.POSTD.DELETE4.OAuth2.0“授权码”模式下，客户端首次重定向用户时必带的参数是A.client_secretB.grant_typeC.response_typeD.refresh_token5.JSONWebToken中用于确保令牌完整性的片段名称是A.headerB.payloadC.signatureD.claim6.在gRPC服务定义里，若希望接口返回流式响应，应使用的关键字是A.streamB.repeatedC.oneofD.map7.对GraphQL查询进行深度限制的主要目的是防御A.SQL注入B.查询嵌套攻击C.XSSD.重放攻击8.接口测试工具Postman中，将环境变量写入全局作用域的预置语句是A.pm.globals.set()B.pm.environment.set()C.pm.collection.set()D.pm.request.set()9.在Linux下使用curl发送带自签名证书的HTTPS请求时，应附加的选项是A.-kB.-LC.-XD.-u10.当服务端启用HSTS后，客户端下一次访问同一域名将强制使用A.FTPB.SSHC.HTTPSD.WebSocket二、填空题（每题2分，共20分）11.HTTP/2采用________帧类型实现服务器主动推送。12.在JWT中，声明“exp”表示________时间。13.若接口文档采用OpenAPI3.0，描述响应体的字段名称是________。14.使用WireMock进行桩服务时，默认监听端口为________。15.当服务端返回“429TooManyRequests”时，通常伴随的头部提示字段是________。16.在Kubernetes中，暴露gRPC服务常用的资源对象是________。17.对二进制protobuf消息进行反向解析时，需先获取对应的________文件。18.若需对REST接口做幂等性校验，推荐在请求头中加入________ID。19.在SpringBoot中，开启全局跨域配置的注解是________。20.接口性能压测中，衡量99%请求响应时间的指标缩写为________。三、判断题（每题2分，共20分）21.TCP三次握手完成后，服务端即可开始发送应用层数据。22.使用Basic认证时，用户名与密码经过SHA256编码后放在Authorization头。23.GraphQL的mutation操作同样支持嵌套查询。24.在QUIC协议中，连接迁移通过连接ID实现而无需四元组保持不变。25.同一域名下，浏览器对HTTP/2的最大并发流数没有限制。26.接口自动化测试中，数据驱动核心思想是将测试逻辑与测试数据分离。27.当返回码为202时，表示请求已被成功处理且服务器已生成最终响应。28.使用JMeter进行压测时，吞吐量控制器可用来按比例分发不同请求。29.在OAuth2.0中，refresh_token可以被无限次使用直至显式吊销。30.对于PUT方法，多次调用同一资源必然导致相同服务器状态。四、简答题（每题5分，共20分）31.简述在微服务链路中，如何利用“接口版本号”实现灰度发布。32.说明在持续集成流水线中，自动化接口回归测试应放在哪一阶段并给出理由。33.列举三种常见的接口鉴权机制，并指出其最适用的场景。34.描述一次完整的HTTPS握手过程，并指出其中哪一步最消耗CPU资源。五、讨论题（每题5分，共20分）35.结合行业案例，讨论在开放银行API中，如何权衡数据开放与隐私保护。36.针对高并发秒杀场景，探讨接口限流与缓存预热协同设计的利弊。37.分析GraphQL与REST在移动边缘计算环境下的优劣，并给出选型建议。38.论述在多云架构中，通过ServiceMesh实现接口可观测性的技术路径与挑战。答案与解析一、单项选择题1.B2.C3.B4.C5.C6.A7.B8.A9.A10.C二、填空题11.PUSH_PROMISE12.过期13.content14.808015.Retry-After16.Service17.proto18.Idempotency-Key19.@CrossOrigin20.P99三、判断题21.×22.×23.√24.√25.×26.√27.×28.√29.×30.×四、简答题31.在网关层根据Header或Query中的version字段路由到不同容器集；新版本先分配少量流量，通过监控错误率与延迟逐步放大流量比例，实现零中断升级。32.应置于“部署后、生产前”的staging阶段；因此时镜像已发布至测试环境，可最接近生产配置，发现接口级回归缺陷并阻断错误版本流入生产。33.Basic认证：内部可信系统；APIKey：开放数据平台；OAuth2.0：第三方授权登录。34.ClientHello→ServerHello→Certificate→KeyExchange→Finished；其中服务器私钥解密Pre-Master最耗CPU。五、讨论题35.采用分级授权与动态脱敏，对敏感字段使用FAPI加密，引入第三方审计日志，兼顾监管合规与创新生态。36.限流保护后端，缓存预热减少冷启动；但预热数据可能过期，需配合异步消息与实时校对，避免超卖。37.Graph