簡單總結下登入功能的測試點，網上也有很多帖子可以參考，在此做個記錄，方便以後查閱和使用:

　　一、基本功能測試：

　　輸入正確的使用者名稱和密碼登入成功

　　輸入錯誤的使用者名稱密碼登入失敗

　　使用者名稱正確，密碼錯誤，是否提示輸入密碼錯誤？

　　使用者名稱錯誤，密碼正常，是否提示輸入使用者名稱錯誤？

　　使用者名稱和密碼都錯誤，是否有相應提示？

　　使用者名稱密碼為空時，是否有相應提示？

　　如果使用者未註冊，提示請先註冊，然後進行登入

　　已經登出的使用者登入失敗，提示資訊友好？

　　密碼框是否加密顯示？

　　使用者名稱是否支援中文、特殊字元？

　　使用者名稱是否有長度限制？

　　密碼是否支援中文，特殊字元？

　　密碼是否有長度限制？

　　密碼是否區分大小寫？

　　密碼為一些簡單常用字串時，是否提示修改？如：123456

　　密碼儲存方式？是否加密？

　　登入功能是否需要輸入驗證碼？

　　驗證碼有效時間？

　　驗證碼輸入錯誤，登入失敗，提示資訊是否友好？

　　輸入過期的驗證能否登入成功？

　　驗證碼是否容易識別？

　　驗證碼換一張功能是否可用？點選驗證碼圖片是否可以更換驗證碼？

　　使用者體系：比如系統分普通使用者、高階使用者，不同使用者登入系統後可的許可權不同。

　　如果使用第三方賬號(QQ,微博賬號)登入，那麼第三方賬號與本系統的賬號體系對應關係如何儲存？首次登入需要極權等

　　二、頁面測試：

　　登入頁面顯示是否正常？文字和圖片能否正常顯示，相應的提示資訊是否正確，按鈕的設定和排列是否正常，頁面是否簡潔壯觀等。

　　頁面預設焦點是否定位在使用者名稱的輸入框中

　　首次登入時相應的輸入框是否為空？或者如果有預設文案，當點選輸入框時預設方案是否消失？

　　相應的按鈕如登入、重置等，是否可用;頁面的前進、後退、重新整理按鈕是否可用？

　　快捷鍵Tab,Esc,Enter 等，能否控制使用

　　相容性測試：不同瀏覽器，不同作業系統，不同解析度下介面是否正常

　　三 、安全測試：

　　不登入：瀏覽器中直接輸入登入後的地址，看是否可以直接進入

　　登入成功後生成的Cookie，是否是httponly (否則容易被指令碼盜取)

　　使用者名稱和密碼是否通過加密的方式，傳送給Web伺服器

　　使用者名稱和密碼的驗證，應該是用伺服器端驗證， 而不能單單是在客戶端用javascript驗證

　　使用者名稱和密碼的輸入框，應該遮蔽SQL 注入攻擊

　　使用者名稱和密碼的的輸入框，應該禁止輸入指令碼 （防止XSS攻擊）

　　錯誤登陸的次數限制（防止暴力破解）

　　考慮是否支援多使用者在同一機器上登入；

　　考慮一使用者在多臺機器上登入

　　四、效能測試：

　　單使用者登入系統的響應時間是否符合”3-5-8″原則

　　使用者數在臨界點時併發登入是否還能符合”3-5-8″原則

　　壓力：大量併發使用者登入，系統的響應時間是多少？系統會出現宕機、記憶體洩露、cpu飽和、無法登入嗎?

　　穩定性： 系統能否處理併發使用者數在臨界點以內連續登入N個時的場景？

　　五、其它測試：

　　連續輸入3次或以上錯誤密碼，用記是否被鎖一定時間（如：15分鐘）？時間內不允許登入，超出時間點是否可以繼續登入。

　　使用者session過期後，重新登入是否還能重新返回這前session過期的頁面？

　　使用者名稱和密碼輸入框是事支援鍵盤快捷鍵？如：撤銷、複製、貼上等等

　　是否允許同名使用者同時登入進行操作？考慮web和app同時登入

　　手機登入時，是否先判斷網路可用？

　　手機登入時，是否先判斷app存在新版本？

　　是否支援單點登入？

　　是否有埋點介面