一、基本功能測試:
OK 輸入正確的用戶名和密碼登錄成功
OK 輸入錯誤的用戶名密碼登錄失敗
OK 用戶名正確,密碼錯誤,是否提示輸入密碼錯誤?
OK 用戶名錯誤,密碼正常,是否提示輸入用戶名錯誤?
OK 用戶名和密碼都錯誤,是否有相應提示?
OK 用戶名密碼為空時,是否有相應提示?
無 如果用戶未注冊,提示請先注冊,然后進行登錄
無 已經注銷的用戶登錄失敗,提示信息友好?
OK 密碼框是否加密顯示?
OK 用戶名是否支持中文、特殊字符?
無 用戶名是否有長度限制?
OK 密碼是否支持中文,特殊字符?
無 密碼是否有長度限制?
OK 密碼是否區分大小寫?
無 密碼為一些簡單常用字符串時,是否提示修改?如:123456
OK 密碼存儲方式?是否加密?
無 登錄功能是否需要輸入驗證碼?
無 驗證碼有效時間?
無 驗證碼輸入錯誤,登錄失敗,提示信息是否友好?
無 輸入過期的驗證能否登錄成功?
無 驗證碼是否容易識別?
無 驗證碼換一張功能是否可用?點擊驗證碼圖片是否可以更換驗證碼?
OK 用戶體系:比如系統分普通用戶、高級用戶,不同用戶登錄系統后可的權限不同。
無 如果使用第三方賬號(QQ,微博賬號)登錄,那么第三方賬號與本系統的賬號體系對應關系如何保存?首次登錄需要極權等
二、頁面測試:
OK登錄頁面顯示是否正常?文字和圖片能否正常顯示,相應的提示信息是否正確,按鈕的設置和排列是否正常,頁面是否簡潔壯觀等。
無 頁面默認焦點是否定位在用戶名的輸入框中
OK 首次登錄時相應的輸入框是否為空?或者如果有默認文案,當點擊輸入框時默認方案是否消失?
相應的按鈕如登錄、重置等,是否可用;頁面的前進、后退、刷新按鈕是否可用?
快捷鍵Tab,Esc,Enter 等,能否控制使用
兼容性測試:不同瀏覽器,不同操作系統,不同分辨率下界面是否正常
三 、安全測試:
無 不登錄:瀏覽器中直接輸入登錄后的地址,看是否可以直接進入
登錄成功后生成的Cookie,是否是httponly (否則容易被腳本盜取)
用戶名和密碼是否通過加密的方式,發送給Web服務器
用戶名和密碼的驗證,應該是用服務器端驗證, 而不能單單是在客戶端用javascript驗證
用戶名和密碼的輸入框,應該屏蔽SQL 注入攻擊
用戶名和密碼的的輸入框,應該禁止輸入腳本 (防止XSS攻擊)
錯誤登陸的次數限制(防止暴力破解)
考慮是否支持多用戶在同一機器上登錄;
考慮一用戶在多台機器上登錄
四、性能測試:
單用戶登錄系統的響應時間是否符合"3-5-8"原則
用戶數在臨界點時並發登錄是否還能符合"3-5-8"原則
壓力:大量並發用戶登錄,系統的響應時間是多少?系統會出現宕機、內存泄露、cpu飽和、無法登錄嗎?
穩定性: 系統能否處理並發用戶數在臨界點以內連續登錄N個時的場景?
五、其它測試:
連續輸入3次或以上錯誤密碼,用記是否被鎖一定時間(如:15分鍾)?時間內不允許登錄,超出時間點是否可以繼續登錄。
用戶session過期后,重新登錄是否還能重新返回這前session過期的頁面?
用戶名和密碼輸入框是事支持鍵盤快捷鍵?如:撤銷、復制、粘貼等等
是否允許同名用戶同時登錄進行操作?考慮web和app同時登錄
手機登錄時,是否先判斷網絡可用?
手機登錄時,是否先判斷app存在新版本?
是否支持單點登錄?
是否有埋點接口
附帶 Session 測試要求
session 過期
session 不一致
門戶首頁 跳轉的時候 數據是否轉入
跳轉具有查的功能
門戶首頁 順序
精品 服務只有6個的時候
附帶
測試三種登錄形式
1 數據表中登錄
2 ldap登錄
3 SSO登錄
Case1:輸入正確的用戶名和用戶密碼--測試是否可以正常登錄
| 用戶名:admin 正確密碼11 (ldap open) |
Case2:輸入正確的用戶名和錯誤的密碼(用戶ldap權限開啟)--測試ldap是否可以正常運行
| 用戶名:test11 錯誤密碼:777 (ldap open) |
Case3:輸入正確的用戶名和錯誤的面(用戶ldap權限關閉)—測試SSO是否可以正常運行
| 用戶名:test12 錯誤密碼:777 (ldap close) |