01你真的懂测试吗？从“用户登录”测试谈起

针对“用户登录”功能，基于等价类划分和边界值分析方法，我们设计的测试用例包括：
（刚刚及格的测试用例集）
1. 输入已注册的用户名和正确的密码，验证是否登录成功；
2. 输入已注册的用户名和不正确的密码，验证是否登录失败，并且提示信息正确；
3. 输入未注册的用户名和任意密码，验证是否登录失败，并且提示信息正确；
4. 用户名和密码两者都为空，验证是否登录失败，并且提示信息正确；
5. 用户名和密码两者之一为空，验证是否登录失败，并且提示信息正确；
6. 如果登录功能启用了验证码功能，在用户名和密码正确的前提下，输入正确的验证码，验证是否登录成功；
7. 如果登录功能启用了验证码功能，在用户名和密码正确的前提下，输入错误的验证码，验证是否登录失败，并且提示信息正确。

有经验的测试工程师会增加的测试用例：
1. 用户名和密码是否大小写敏感；
2. 页面上的密码框是否加密显示；
3. 后台系统创建的用户第一次登录成功时，是否提示修改密码；
4. 忘记用户名和忘记密码的功能是否可用；
5. 前端页面是否根据设计要求限制用户名和密码长度；
6. 如果登录功能需要验证码，点击验证码图片是否可以更换验证码，更换后的验证码是否可用；
7. 刷新页面是否会刷新验证码；
8. 如果验证码具有时效性，需要分别验证时效内和时效外验证码的有效性；
9. 用户登录成功但是会话超时后，继续操作是否会重定向到用户登录界面；
10. 不同级别的用户，比如管理员用户和普通用户，登录系统后的权限是否正确；
11. 页面默认焦点是否定位在用户名的输入框中；
12. 快捷键Tab和Enter等，是否可以正常使用。

非功能性需求主要涉及安全性、性能以及兼容性三大方面。

安全性测试用例包括：
1. 用户密码后台存储是否加密；
2. 用户密码在网络传输过程中是否加密；
3. 密码是否具有有效期，密码有效期到期后，是否提示需要修改密码；
4. 不登录的情况下，在浏览器中直接输入登录后的URL地址，验证是否会重新定向到用户登录界面；
5. 密码输入框是否不支持复制和粘贴；（补充：右键方式和热键方式）
6. 密码输入框内输入的密码是否都可以在页面源码模式下被查看；
7. 用户名和密码的输入框中分别输入典型的“SQL注入攻击”字符串，验证系统的返回页面；
8. 用户名和密码的输入框中分别输入典型的“XSS跨站脚本攻击”字符串，验证系统行为是否被篡改；
9. 连续多次登录失败情况下，系统上是否会阻止后续的尝试以应对暴力破解；
10. 同一用户在同一终端的多种浏览器上登录，验证登录功能的互斥性是否符合设计预期；
11. 同一用户先后在多台终端的浏览器上登录，验证登录是否具有互斥性。

性能压力测试用例包括：
1. 单用户登录的响应时间是否小于3秒；
2. 单用户登录时，后台请求数量是否过多；
3. 高并发场景下用户登录的响应时间是否小于5秒；
4. 高并发场景下服务端的监控指标是否符合预期；
5. 高集合点并发场景下，是否存在资源死锁和不合理的资源等待；
6. 长时间大量用户连续登录和登出，服务器端是否存在内存泄漏。

兼容性测试用例包括：
1. 不同浏览器下，验证登录页面的显示以及功能正确性；
2. 相同刘阿联酋的不同版本下，验证登录页面的显示以及功能正确性；
3. 不同移动设备终端的不同浏览器下，验证登录页面的显示以及功能正确性；
4. 不同分辨率的界面下，验证登录页面的显示以及功能正确性。

网友补充：
1. 网络延迟或者弱网或者切换网络或者断网时是否正常登录；
2. 是否支持第三方登录；
3. 是否可记住密码，记住的密码保存是否加密，记住密码是否有有效期，过期之后是否会清空密码；
4. 密码强弱性校验，数据库设计和数据操作时是否合理；
5. 用户登录过程中log是否对个人信息及密码明文打印；
6. 登录用户限制：比如同时支持10个用户登录，同时9个或者11个用户登录是否正常或者提示信息正确；
7. 未激活的用户登录；
8. 被停用的用户登录；
9. 涉及资产风险的，对登录设备和地区检测；
10. 为空和输入空字符串时的校验；
11. 使用中文键盘输入字母时和使用英文键盘输入字母时传给后端的字符串长度是否一致；（补充：全角与半角符号的区分，软键盘的输入）
12. 登录成功后的session时效设置；
13. 密码一栏是否需要设置明暗码切换按钮；
14. 输入栏是否设置快速删除按钮；
15. 是否用到缓存；
16. 用户名和密码是否对空格敏感；
17. 更改密码后是否还能用之前的密码登录；
18. 一个用户是否具备多种登录方式（用户名，手机号，邮箱等）；
19. 第三方登录修改密码的影响（解绑后是否能正常登录和登出）；
20. 是否可以使用登录的API发送登录请求，并绕开验证码校验；
21. 是否可以用抓包工具抓到的请求包直接登录；
22. 截取到的token等信息，是否可以在其他终端上直接使用，绕开登录。Token过期时间校验；
23. 除了前端校验格式长度，后端是否也校验；
24. 登录后输入登录URL，是否还能再次登录？如果能，原登录用户是否变得无效
25. 其他终端修改密码后，原记住密码终端是否提示密码已更改；
26. 检查HTTP头的refer URL是否为登录起始页的URL，如果不同是否给出正确的提示并做日志记录和报警；
27. 对某些系统，还要验证客户端证书是否与用户名匹配，不匹配时、或者客户端证书过期以及即将过期三种情况是否正确处理和提示；
28. 已登录用户，杀死APP进城后，再次打开APP是否依然为登录状态；
29. 对于银行系统，密码输入框是否可以正常调用密码控件；（补充：在不同安装证书的环境下）