登入功能測試點總結
簡單總結下登入功能的測試點,網上也有很多帖子可以參考,在此做個記錄,方便以後查閱和使用:
一、基本功能測試:
輸入正確的使用者名稱和密碼登入成功
輸入錯誤的使用者名稱密碼登入失敗
使用者名稱正確,密碼錯誤,是否提示輸入密碼錯誤?
使用者名稱錯誤,密碼正常,是否提示輸入使用者名稱錯誤?
使用者名稱和密碼都錯誤,是否有相應提示?
使用者名稱密碼為空時,是否有相應提示?
如果使用者未註冊,提示請先註冊,然後進行登入
已經登出的使用者登入失敗,提示資訊友好?
密碼框是否加密顯示?
使用者名稱是否支援中文、特殊字元?
使用者名稱是否有長度限制?
密碼是否支援中文,特殊字元?
密碼是否有長度限制?
密碼是否區分大小寫?
密碼為一些簡單常用字串時,是否提示修改?如:123456
密碼儲存方式?是否加密?
登入功能是否需要輸入驗證碼?
驗證碼有效時間?
驗證碼輸入錯誤,登入失敗,提示資訊是否友好?
輸入過期的驗證能否登入成功?
驗證碼是否容易識別?
驗證碼換一張功能是否可用?點選驗證碼圖片是否可以更換驗證碼?
使用者體系:比如系統分普通使用者、高階使用者,不同使用者登入系統後可的許可權不同。
如果使用第三方賬號(QQ,微博賬號)登入,那麼第三方賬號與本系統的賬號體系對應關係如何儲存?首次登入需要極權等
二、頁面測試:
登入頁面顯示是否正常?文字和圖片能否正常顯示,相應的提示資訊是否正確,按鈕的設定和排列是否正常,頁面是否簡潔壯觀等。
頁面預設焦點是否定位在使用者名稱的輸入框中
首次登入時相應的輸入框是否為空?或者如果有預設文案,當點選輸入框時預設方案是否消失?
相應的按鈕如登入、重置等,是否可用;頁面的前進、後退、重新整理按鈕是否可用?
快捷鍵Tab,Esc,Enter 等,能否控制使用
相容性測試:不同瀏覽器,不同作業系統,不同解析度下介面是否正常
三 、安全測試:
不登入:瀏覽器中直接輸入登入後的地址,看是否可以直接進入
登入成功後生成的Cookie,是否是httponly (否則容易被指令碼盜取)
使用者名稱和密碼是否通過加密的方式,傳送給Web伺服器
使用者名稱和密碼的驗證,應該是用伺服器端驗證, 而不能單單是在客戶端用javascript驗證
使用者名稱和密碼的輸入框,應該遮蔽SQL 注入攻擊
使用者名稱和密碼的的輸入框,應該禁止輸入指令碼 (防止XSS攻擊)
錯誤登陸的次數限制(防止暴力破解)
考慮是否支援多使用者在同一機器上登入;
考慮一使用者在多臺機器上登入
四、效能測試:
單使用者登入系統的響應時間是否符合”3-5-8″原則
使用者數在臨界點時併發登入是否還能符合”3-5-8″原則
壓力:大量併發使用者登入,系統的響應時間是多少?系統會出現宕機、記憶體洩露、cpu飽和、無法登入嗎?
穩定性: 系統能否處理併發使用者數在臨界點以內連續登入N個時的場景?
五、其它測試:
連續輸入3次或以上錯誤密碼,用記是否被鎖一定時間(如:15分鐘)?時間內不允許登入,超出時間點是否可以繼續登入。
使用者session過期後,重新登入是否還能重新返回這前session過期的頁面?
使用者名稱和密碼輸入框是事支援鍵盤快捷鍵?如:撤銷、複製、貼上等等
是否允許同名使用者同時登入進行操作?考慮web和app同時登入
手機登入時,是否先判斷網路可用?
手機登入時,是否先判斷app存在新版本?
是否支援單點登入?
是否有埋點介面