以一个简单的登录功能为例
功能:
1.输入已注册的用户名和正确的密码,验证是否正常登录
2.输入已注册的用户名和不正确的密码,验证是否不能登录,并有相应的提示信息
3.输入未注册的用户名和随意的密码,验证是否不能登录,并有相应的提示信息
4.输入空的用户名和密码,验证是否不能登录,并有相应的提示信息
5.用户名和密码其一为空,验证是否不能登录,并有相应的提示信息
6.如果有验证码功能,用户名、密码和验证码都正确时,验证是否可以正常登录
7.如果有验证码功能,用户名、密码都正确,验证码错误时,验证是否可以不能登录,并有相应的提示信息
补充:
8.用户名、密码是否大小写敏感
9.密码页面显示是否加密
10.后台创建的用户第一次登陆成功时,是否有提示修改密码
11.忘记用户名和密码的功能是否可用(能否找回)
12.前面页面输入长度及字符是否有限制
13.若登入需要验证码,验证码图片是否可以更换,更换后的是否可用
14.页面默认聚焦是否在输入框
15.不同级别的用户登录权限是否不同
16.快捷键tab和enter可否正常使用
17.用户登陆成功,但是会话超时,继续操作是否可重新定位到用户登录页面
18.页面刷新,验证码是否也刷新
19.验证码的是时效性,分别验证时效内的验证码和时效外的验证码的有效性
安全性:
20.用户密码后台存储是否加密
21.用户密码在网络传输过程中是否加密
22.密码是否具有有效期,有效期到期后(到期前几天),是否提示需要修改密码
23.不登陆的情况下,在浏览器直接输入登录后的URL地址,验证是否会重新定向到用户登陆页面
24.密码输入框可否复制粘贴
25.输入框已输入的密码是否可以在页面源码模式下被查看
26.用户名、密码输入框内分别输入‘SQL 注入攻击’字符串,验证系统的返回页面
27.用户名、密码输入框内分别输入‘XSS跨站脚本攻击’字符串,验证系统行为是否被修改
28.连续多次登录失败情况下,系统是否会阻止后续的尝试以应对暴力破解
29.同一用户在同一终端的多种浏览器上登录,验证登录的互斥性是否符合预期设计
30.同一用户先后在多台终端的浏览器上登陆,验证登录是否有互斥性
性能+压力:
31.单用户登录的时间是否小于3秒
32.单用户登录时,后台的请求数量是否过多
33.高并发的场景下,用户登录的响应时间是否小于5秒
34.高并发的场景下服务端的监控指标是否符合预期
35.高集合点并发场景下,是否存在资源死锁和不合理的资源等待
36.长时间大量用户连续登录登出,服务器端是否存在内存泄露
兼容性:
37.不同浏览器下,验证登陆页面显示及功能的正确性
38.相同浏览器不同版本下,验证登陆页面显示及功能的正确性
39.不同移动设备终端不同浏览器下,验证登陆页面显示及功能的正确性
40.不同分辨率的界面下,验证登陆页面显示及功能的正确性
其他:
41.网络延迟、弱网、切换网络、断网情况下下是否可以正常登录–用工具模拟网络延迟和故意引入固定百分比的网络丢包
42.知否支持第三方登录
43.是否可以记住密码,记住的密码是否加密,是否存在有效期,已过有效期是否清空及能否登录
44.是否可以使用登陆的API发送登录请求并绕开验证码校验
45.是否可用抓包工具抓到请求包,直接登录
46.截取到的token是否可以拿到其他浏览器上直接使用,绕开登陆,token过期时间校验
47.浏览器缓存问题
1515
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
