Cybozu Vietnam Tech Sharing

API Testing: Bắt đầu từ đâu cho lần đầu kiểm thử

#api-testing#software-testing
Đoàn Bá Tùng
Đoàn Bá TùngDecember 09, 2025
API Testing: Bắt đầu từ đâu cho lần đầu kiểm thử

Xem nhanh

Có bao giờ bạn gặp tình huống thế này chưa? Ứng dụng mà bạn đang kiểm thử chạy mượt mà ở giao diện, nhưng chỉ cần bấm “Đăng nhập” là… không có gì xảy ra. Không lỗi hiển thị, không thông báo — chỉ là im lặng. Bạn thử lại, thử nữa, nhưng vẫn thế. Và rồi developer bảo: “Ahh, chắc API bị lỗi!”.

Đó chính là lúc bạn nhận ra: đằng sau những nút bấm, những form nhập dữ liệu kia là cả một cuộc hội thoại liên tục giữa frontend và backend — nơi mà API đóng vai trò là cầu nối. Kiểm thử API không còn là một kỹ năng “nâng cao”, mà là chìa khóa giúp bạn hiểu được điều gì thực sự diễn ra bên trong ứng dụng.

Trong bài viết này, chúng ta sẽ cùng khám phá:

  • API thật sự là gì và vì sao nó quan trọng đến vậy
  • Cách thực hiện kiểm thử API một cách bài bản
  • Và cuối cùng là một số ví dụ để hiểu hơn về cách chạy các API

I. API là gì? Vì sao cần kiểm thử API?

🔍 API là gì?

API (Application Programming Interface) là một tập hợp các quy tắc và giao thức cho phép các phần mềm giao tiếp với nhau. Bạn có thể hình dung API như người trung gian giúp client (ứng dụng người dùng) trao đổi với server (máy chủ).

Ví dụ, bạn gọi món ăn tại nhà hàng: bạn là “client”, đầu bếp là “server”, còn API chính là người bồi bàn — nhận yêu cầu từ bạn và mang kết quả từ bếp trả về.

🧭 Vì sao cần kiểm thử API?

Trong quy trình phát triển phần mềm ngày nay, kiểm thử API không còn là tùy chọn — mà là một phần bắt buộc nếu bạn muốn hệ thống hoạt động ổn định và an toàn.

API Testing giúp đảm bảo việc trao đổi dữ liệu giữa các hệ thống diễn ra đúng, đủ và bảo mật, ngay cả khi bạn không cần thao tác trực tiếp trên giao diện người dùng.

Thay vì click và quan sát kết quả trên màn hình, tester sẽ gửi các request trực tiếp đến server, nhận response trả về, rồi đánh giá xem luồng xử lý bên trong có hoạt động đúng như mong đợi hay không.

Điều này không chỉ giúp phát hiện lỗi sớm hơn, mà còn giúp kiểm tra hiệu năng, độ ổn định và khả năng bảo mật của API trước khi sản phẩm chính thức ra mắt.

Và quan trọng nhất, nhờ việc kiểm thử sớm ở tầng API, đội ngũ phát triển có thể tiết kiệm thời gian, giảm chi phí bảo trì — đồng thời mang đến cho người dùng một hệ thống mượt mà, đáng tin cậy hơn.

💻 Một số status code mà tester thường gặp

Khi làm việc với API, status code là phản hồi mà server gửi lại để cho biết kết quả xử lý request. Nên việc hiểu rõ status code cũng giúp tester nhanh chóng xác định lỗi và nguyên nhân.

Các status code của API thường được phân loại dựa vào nhóm chữ số đầu tiên:

screenshot 2025 10 24 at 13 31 01

II. Các bước thực hiện kiểm thử API

1. Xác định API cần kiểm thử

- Dựa vào tài liệu mô tả kỹ thuật (specification), xác định API cần test, chức năng chính, input và output tương ứng.

- Xây dựng test plan và test case phù hợp.

2. Thiết kế test case cho API

Một test case API thường bao gồm:

  1. Test purpose: Xác định bạn muốn kiểm tra điều gì — dữ liệu trả về, lỗi, hay quyền truy cập
  2. Endpoint: Xác định chính xác endpoint cần gửi request
  3. HTTP Method: Lựa chọn phương thức phù hợp:
  • GET – Lấy dữ liệu
  • POST – Gửi dữ liệu mới
  • PUT – Cập nhật toàn bộ dữ liệu
  • PATCH – Cập nhật một phần dữ liệu
  • DELETE – Xóa dữ liệu

💡 Lưu ý: Với PUT, nếu bạn gửi thiếu field, dữ liệu có thể bị ghi đè toàn bộ. Ngược lại, PATCH chỉ cập nhật các trường bạn gửi lên.

  • Dữ liệu đầu vào: Có thể là query parameter (GET) hoặc body (POST, PUT, PATCH)
  • Kết quả mong đợi: Kiểm tra response body và status code hệ thống trả về

Ngoài ra, nên thiết kế test case cho cả:

  • Trường hợp hợp lệ (valid) và không hợp lệ (invalid)
  • Boundary case (giới hạn dữ liệu, thiếu trường, sai format…)

3. Set up môi trường và thực thi test

Sau khi bạn đã thiết kế xong các test case, bước tiếp theo là gửi request đến hệ thống và kiểm tra kết quả trả về.

Đây chính là lúc bạn đưa lý thuyết vào thực hành — quan sát xem API có phản hồi đúng như mong đợi không, dữ liệu trả về có đủ và chính xác không.

Để hỗ trợ cho quá trình này, có rất nhiều công cụ kiểm thử API tiện lợi.

Trong đó, Postman là một công cụ khá phổ biến. Với giao diện trực quan, dễ sử dụng, Postman giúp bạn gửi request, xem response và thậm chí phân tích dữ liệu trả về chỉ trong vài thao tác đơn giản.

postman en

4. Ghi nhận kết quả và báo cáo lỗi

Sau khi chạy test, nếu kết quả khác với mong đợi, hãy ghi lại chi tiết:

  • Request đã gửi
  • Response nhận được
  • Status code và body trả về

Với những thông tin trên sẽ giúp nhóm phát triển có thể dễ dàng xác định nguyên nhân lỗi.

III. Thực hành chạy thử API với Postman

🧩 Ví dụ 1: Method GET

Ở ví dụ đầu tiên, hãy thử với method GET và sử dụng API https://postman-echo.com/get. Đây là một API khá đơn giản để giới thiệu về cách sử dụng để chạy và gửi request.

screenshot 2025 10 13 at 23 21 51

Trong Postman, khi gửi request sẽ có những điểm chúng ta cần lưu ý sau:

  1. Method HTTP: chọn method phù hợp để gửi request
  2. URI: Đây là nơi để nhập đường dẫn URI tới nơi để gọi API
  3. Query params: giúp truy vấn và get dữ liệu phù hợp theo những param đã truyền vào

Sau khi đã nhập đầy đủ các data cần thiết, click “Send” để gửi request.

Kết quả trả về:

  • Status code: 200 OK → Request thành công
  • Response body: Trả về dữ liệu đúng theo param đã gửi
Copy 
{
  "args": {
    "country": "VietNam",
    "role": "Tester"
  }
}

Đây cũng chính là 2 kết quả trả về chúng ta sẽ verify trong lúc kiểm thử.

🧩 Ví dụ 2: Method POST có Authorization

API: https://postman-echo.com/post

Tùy vào API sẽ được thiết kế Authorization theo các loại khác nhau. Ở API này, chúng ta sẽ sử dụng Basic Auth đơn giản mà Postman đã cung cấp thông tin:

- Username: postman

- Password: password

Trong tab Authorization, chọn “Auth Type” là Basic Auth. Sau đó nhập thông tin username và password tương tự thông tin đã được cung cấp phía trên.

demo1

Tương tự như method GET chúng ta cũng sẽ truyền vào method, URI phù hợp. Tuy nhiên, với method POST, bạn sẽ cần nhập thêm data vào tab “Body”, chọn “raw” với format là JSON.

Ở đây, bạn hãy thử truyền vào 2 giá trị như sau và gửi request thử nhé:

Copy 
{
  "name": "James",
  "role": "Tester"
}

Sau khi request được gửi, hệ thống sẽ trả về status code và response body có data như request body bạn đã cung cấp.

demo2

💡 Lưu ý: Postman Echo chỉ phản hồi lại dữ liệu bạn gửi, không thực hiện lưu trữ thật – đây chỉ là môi trường demo để bạn có thể học và thử nghiệm.

IV. kiểm thử API ở Cybozu – những bài học từ dự án thực tế

Kiểm thử API đã trở thành một phần không thể thiếu trong hành trình thực hiện dự án tại Cybozu.
Mỗi dự án lại mang đến một bài học mới — về cách test, cách xử lý dữ liệu và cả cách phối hợp với developer.

Và dưới đây là những tip nhỏ nhưng hữu ích của mình trong quá trình làm việc với các API:

💡Đừng vội tin vào dòng “200 OK”

Mã trạng thái 200 chỉ cho biết request đã được xử lý thành công, nhưng không đảm bảo kết quả thực sự đúng.
Có những trường hợp API trả về 200 nhưng response body lại chứa thông tin lỗi hoặc dữ liệu không hợp lệ.

Vì vậy, ngoài việc kiểm tra status code, cần đọc kỹ nội dung phản hồi, so sánh với kết quả mong đợi, và xác minh logic xử lý bên trong để đảm bảo API hoạt động chính xác.

🧪Kiểm thử cả trường hợp “phá” dữ liệu

API không chỉ cần hoạt động đúng với dữ liệu hợp lệ mà còn phải xử lý đúng cách khi gặp dữ liệu sai hoặc thiếu.
Việc gửi request có input trống, sai định dạng, hoặc vượt giới hạn cho phép sẽ giúp phát hiện sớm những lỗ hổng trong quá trình kiểm tra dữ liệu đầu vào.

Một API tốt không chỉ biết trả về kết quả đúng, mà còn biết từ chối dữ liệu không hợp lệ một cách rõ ràng và có kiểm soát.

🔁Đảm bảo tính nhất quán giữa các API

Các API trong cùng hệ thống thường có mối quan hệ chặt chẽ với nhau.
Nếu API A tạo dữ liệu mà API B không thể truy xuất, đó có thể là dấu hiệu của vấn đề đồng bộ hoặc sai logic xử lý luồng.

Do đó, ngoài việc kiểm thử từng API riêng lẻ, cần kiểm thử theo chuỗi (end-to-end) để xác nhận dữ liệu được xử lý thống nhất trên toàn hệ thống.

⚙️Quản lý dữ liệu test một cách cẩn thận

Dữ liệu test không được quản lý tốt dễ dẫn đến xung đột, trùng lặp ID, hoặc sai lệch kết quả kiểm thử.
Để tránh tình trạng này, nên:

  • Xóa hoặc làm sạch dữ liệu sau mỗi lần test.
  • Sử dụng dữ liệu động, được tạo mới tự động khi cần.
  • Ghi chú lại các giá trị đặc biệt (token, ID, key...) để đảm bảo tính nhất quán trong suốt quá trình kiểm thử.

Với một bộ dữ liệu rõ ràng, dễ kiểm soát sẽ giúp tiết kiệm nhiều thời gian khi phân tích và debug lỗi.

🧠Ghi nhận và lưu trữ kết quả kiểm thử

Việc lưu lại request, response và kết quả kiểm thử không chỉ giúp đối chiếu sau này, mà còn hỗ trợ phát hiện những thay đổi bất thường khi API được cập nhật.

Nên sử dụng công cụ hoặc file log để ghi nhận các phản hồi, test case quan trọng và những lỗi đã gặp.
Dữ liệu này sẽ trở thành nguồn tham chiếu quý giá cho các lần kiểm thử sau và giúp cải thiện quy trình test liên tục.

🧭 Tổng kết

Như vậy, qua bài viết này bạn đã hiểu rõ hơn về API Testing – một phần quan trọng trong quy trình kiểm thử phần mềm.

Việc nắm vững khái niệm API, hiểu cơ chế hoạt động và biết cách thiết kế test case sẽ giúp bạn:

  • Phát hiện lỗi sớm hơn ở tầng backend
  • Tiết kiệm thời gian kiểm thử giao diện
  • Trở thành một tester “full-stack” tự tin hơn trong công việc

Hy vọng bài viết này giúp bạn có cái nhìn rõ ràng và thực tế hơn về kiểm thử API – cũng như có thể tự tin bắt đầu thực hành với Postman ngay hôm nay.