权限测试
简介
权限管理,一般指根据系统设置的安全规则或者安全策略
- 功能权限
指定用户可以处理哪些功能,不能使用哪些功能- 数据权限
指定用户可以处理哪些数据,不可以处理哪些数据- 操作权限
在逻辑关系上,前后顺序、数据处理情况
准备工作
前期准备
- 依据文档《需求规格说明书》有关权限说明
- 确定是否存在功能、数据、操作权限
- 列出权限对应关系图
- 根据需求等相关文档,查看程序设置权限级别是否正确,即每一级别用户所能执行的功能是否分配正确
- 测试方法
1.先检查脚本,再建立不同权限级的用户进入系统,查看菜单、操作命令有效、无效设置是否正确
2.对于单个的权限进行测试问题不大,主要问题还是在于权限的分级与交叉权限
3.在进行权限测试的时候,优先执行和模拟用户日常使用的权限,也就是使用中最频繁的操作
4.考虑哪些权限在使用过程中风险比较大,模拟进行测试。
5.如是涉及到人员权限、角色、领导管辖范围三种情况,则分别针对每一种情况按如下方式测试完毕后,再把三种情况全部组合起来测试。
测试内容及办法
步骤
- 1.检查初始化角色、权限对应关系
检查初始化脚本和需求文档说明是否一致- 2.无权限验证
有提示,不能显示任何功能页面- 3.单个权限/角色验证
针对每个权限/角色:配置单个权限或角色->登录->检查是否符合权限对应的范围
不给用户赋予任何角色或权限,是否不允许登录系统
角色,对角色所默认的权限进行增删改,原先即拥有此角色的人登录后,权限是否发生变化- 4.组合权限/角色验证
组合测试
常用的组合、全部组合、两两组合或三三组合
权限有交叉的组合*
针对每一组合权限/角色
配置组合权限或角色->登录->检查是否符合权限对应的范围- 5.特殊验证
权限划分合理明晰
符合常规
满足用户的特殊需求
以尽量少的权限来界定操作,且界定明细