测试点（二）：登录

基本功能测试点：

1、输入正确的用户名和密码登录成功

2、输入错误的用户名密码登录失败

3、用户名正确密码错误，是否提示输入密码错误

4、用户名错误，密码正常，是否提示输入用户名错误

5、用户名和密码都错误，是否有相应提示

6、用户名密码为空时，是否有相应提示

7、如果用户未注册，提示请先注册，然后进行登录

8、已经注销的用户登录失败，提示信息是否友好

9、密码框是否加密显示

10、用户名 是否支持中文、特殊字符

11、用户名是否有长度限制

12、用户名是否支持中文，特殊字符

13、密码是否有长度限制

14、密码是否区分大小写

15、密码为一些简单常用字符串时，是否提示修改？如：123456

16、密码存储方式是否加密

17、登录功能是否需要输入验证码？

         验证码有效时间

         验证码输入错误，登录失败，提示信息是否友好

         输入过期的验证码是否能登录成功

         验证码是否容易识别

         验证码换一张功能是否可用，点击验证码图片是否可以更换验证码，是否可以登录

验证码以短信发送

18、用户体系：比如系统分普通用户、高级用户、不同用户登录系统后的权限不同。

19、如果使用第三方账号（QQ、微信、微博账号）登录，那么第三方账号与本系统的账号体系对应关系如何保存？首次登录是否需要授权等？授权后在取消授权是否可登录？是否存在统一登录

20、是否存在首次登陆强制修改默认密码操作，密码强度判定强中弱，强制短信发送时间、短信支持重复发

页面测试：

1、登录页面显示是否正常？文字和图片是否正常显示，相应的提示信息是否正确，按钮的设置和排列是否正常，页面是否简洁美观等。

2、页面默认焦点是否定位在用户名的输入框中

3、首次登录时相应的输入框是否为空？或者如果有默认文案，当点击输入框时默认文案是否消失？

4、相应的按钮如登录、重置等，是否可用；页面的前进、后退、刷新按钮是否可用？

5、快捷键Tab,Esc,Enter等，是否可以使用

6、兼容性测试：不同的浏览器，不同操作系统，不同分辨率下界面是否正常

安全测试：

1、不登录：浏览器中直接输入登录后的地址，看是否可以直接进入

2、登陆成功后生成的Cookie，是否是httponly（否则容易被脚本盗取）

3、用户名和密码是否通过加密的方式，发送给web服务器

4、用户名和密码的验证，应该是用服务器端验证，不能单单在客户端用javascript验证

5、用户名和密码的输入框，应该屏蔽SQL注入攻击

6、用户名和密码的输入框，应该禁止输入脚本（防止XSS攻击）

7、错误登录的次数限制（防止暴力破解）

8、考虑是否支持多用户在同一机器上登录

9、考虑一用户在多台机器上登录

10、超期状态跳转登录页面重新登录，登录状态存在有效期，有效期内保存登录态，有效期过重新登录（有效期时长）

性能测试：

1、单用户登录系统的响应时间是否符合“3-5-8”原则

2、用户数在临界点时并发登录是否还能符合“3-5-8”原则

3、压力：大量并发用户登录，系统的响应时间是多少？系统会出现宕机、内存泄漏、cpu饱和、无法登录的情况？

4、稳定性：系统能否处理并发用户数在临界点以内连续登录N个小时的场景？

其他测试：

1、连续输入3次或或以上错误密码，页面是否被锁一定时间（如：15分钟），锁定时间内不允许登录，超出时间点是否可以继续登录。

2、用户session过期后，重新登录是否还能重新返回之前session过期的页面？

3、用户名和密码输入框是否支持键盘快捷键？如：撤销、复制、粘贴等等

4、是否允许同名用户同时登录进行操作？考虑web和app同时登录

5、手机登录时，是否先判断网络可用？

6、手机登录时，是否先判断app存在新版本？

7、是否支持单点登录？

8、是否有埋点接口