登录功能测试点

验证登录流程判断逻辑

前端

账户名、密码、验证码是否为空?

密码是否符合规则(特殊字符、大小写、数字、长度……)

服务端

验证码是否正确(对应时间戳是否过期)

账户是否存在(未注册、已注销)

密码是否正确(记录连续输入错误次数,超过5次,账号锁定4小时。或提升验证等级,采取账号+密码+验证码+短信验证)

返回session、token

(1)web 从 FileManager 服务获取验证码

(2)FileManager 根据web上传的时间戳(长度为19位数字串,精确到秒),生成验证码图片,并记录时间戳对应的验证码

(3)web获取用户输入的账号,密码(md5加密),验证码信息发送到login svr(今后application svr 可能还会带上用户使用浏览器类型等用户环境信息)

(4)login svr通过时间戳获取验证码字符串

(5)login svr根据web获取的用户信息动态计算确定用户的认证等级,如果为默认认证方式,验证账号、密码、验证码是否正确,如果正确返回验证成功以及相应的session ID;login svr还要在redis 中记录当前用户session对应的信息,供鉴权服务使用

(6)如果login svr 动态计算的用户认证级别高于默认级别,则login svr 返回对应的认证级别,web需要根据返回的结果提升认证级别,比如OTP认证等等

(7)login svr 记录用户登入日志(包括但不限于ip,mac地址等)

 

一、基本功能测试点:

1、输入正确的用户名和密码登录成功

2、输入错误的用户名密码登录失败

3、用户名正确密码错误,是否提示输入密码错误

4、用户名错误,密码正常,是否提示输入用户名错误

5、用户名和密码都错误,是否有相应提示

6、用户名密码为空时,是否有相应提示

7、如果用户未注册,提示请先注册,然后进行登录

8、已经注销的用户登录失败,提示信息是否友好

9、密码框是否加密显示

10、用户名 是否支持中文、特殊字符

11、用户名是否有长度限制

12、用户名是否支持中文,特殊字符

13、密码是否有长度限制

14、密码是否区分大小写

15、密码为一些简单常用字符串时,是否提示修改?如:123456

16、密码存储方式是否加密

17、登录功能是否需要输入验证码?

         (1)验证码有效时间

         (2)验证码输入错误,登录失败,提示信息是否友好

         (3)输入过期的验证码是否能登录成功

         (4)验证码是否容易识别

         (5)验证码换一张功能是否可用,点击验证码图片是否可以更换验证码,是否可以登录

18、用户体系:比如系统分普通用户、高级用户、不同用户登录系统后的权限不同。

19、如果使用第三方账号(QQ、微信、微博账号)登录,那么第三方账号与本系统的账号体系对应关系如何保存?首次登录是否需要授权等。

 

二、页面测试:

1、登录页面显示是否正常?文字和图片是否正常显示,相应的提示信息是否正确,按钮的设置和排列是否正常,页面是否简洁美观等。

2、页面默认焦点是否定位在用户名的输入框中

3、首次登录时相应的输入框是否为空?或者如果有默认文案,当点击输入框时默认文案是否消失?

4、相应的按钮如登录、重置等,是否可用;页面的前进、后退、刷新按钮是否可用?

5、快捷键Tab,Esc,Enter等,是否可以使用

6、兼容性测试:不同的浏览器,不同操作系统,不同分辨率下界面是否正常

三、安全测试

1、不登录:浏览器中直接输入登录后的地址,看是否可以直接进入

2、登陆成功后生成的Cookie,是否是httponly(否则容易被脚本盗取)

3、用户名和密码是否通过加密的方式,发送给web服务器

4、用户名和密码的验证,应该是用服务器端验证,不能单单在客户端用javascript验证

5、用户名和密码的输入框,应该屏蔽SQL注入攻击

6、用户名和密码的输入框,应该禁止输入脚本(防止XSS攻击)

7、错误登录的次数限制(防止暴力破解)

8、考虑是否支持多用户在同一机器上登录

9、考虑一用户在多台机器上登录

四、性能测试:

1、单用户登录系统的响应时间是否符合“3-5-8”原则

2、用户数在临界点时并发登录是否还能符合“3-5-8”原则

3、压力:大量并发用户登录,系统的响应时间是多少?系统会出现宕机、内存泄漏、cpu饱和、无法登录的情况?

4、稳定性:系统能否处理并发用户数在临界点以内连续登录N个小时的场景?

五、其他测试:

1、连续输入3次或或以上错误密码,页面是否被锁一定时间(如:15分钟),锁定时间内不允许登录,超出时间点是否可以继续登录。

2、用户session过期后,重新登录是否还能重新返回之前session过期的页面?

3、用户名和密码输入框是否支持键盘快捷键?如:撤销、复制、粘贴等等

4、是否允许同名用户同时登录进行操作?考虑web和app同时登录

5、手机登录时,是否先判断网络可用?

6、手机登录时,是否先判断app存在新版本?

7、是否支持单点登录?

8、是否有埋点接口

 

内容转载自“http://www.cnblogs.com/tester-hehehe/p/5437665.html”

posted @ 2017-09-27 15:15  zhangmeng117  阅读(4502)  评论(0编辑  收藏  举报