测试用例思考：“用户登录”设置测试用例

最近跟同事讨论，关于“用户登录”的测试场景，在网上也查了很多帖子，发现网友提出了很多很不错的测试点，我统一整理了一下，抛砖引玉，如果还有其他的思考点，欢迎留言，谢谢！

功能测试思考点

一、登录

1. 输入已注册的用户名和正确的密码，验证是否登录成功；
2. 输入已注册的用户名和不正确的密码，验证是否登录失败，并且提示信息正确；
3. 输入未注册的用户名和任意密码，验证是否登录失败，并且提示信息正确；
4. 用户名和密码两者都为空，验证是否登录失败，并且提示信息正确；
5. 用户名和密码两者之一为空，验证是否登录失败，并且提示信息正确；
6. 用户登录成功但是会话超时后，继续操作是否会重定向到用户登录界面；
7. 不同级别的用户，比如管理员用户和普通用户，登录系统后的权限是否正确；
8. 页面默认焦点是否定位在用户名的输入框中；
9. 快捷键TAB和Enter等，是否可以正常使用；
10. 网络延迟、弱网、切换网络、断网时正常登陆是否正常
11. 是否支持第三方登录
12. 复制的账号、密码、验证码是否有有效性？
13. 第三方登录修改密码的影响（解绑后是否能正常登录，和退出登录）
14. 未激活的用户登录
15. 为空和输入空字符串时的校验是否一致；
16. 被停用的用户登录

二、验证码
6. 如果登录功能启用了验证码功能，在用户名和密码正确的前提下，输入正确的验证码，验证是否登录成功；
7. 如果登录功能启用了验证码功能，在用户名和密码正确的前提下，输入错误的验证码，验证是否登录失败，并且提示信息正确。
8. 用户名和密码是否大小写敏感；
9. 页面上的密码框是否加密显示；
10. 后台系统创建的用户第一次登录成功时，是否提示修改密码；
11. 忘记用户名和忘记密码的功能是否可用；
12. 前端页面是否根据设计要求限制用户名和密码的长度；
13. 如果登录功能需要验证码，点击验证码图片是否可以更换验证码，更换后的验证码是否可用；
14. 刷新页面是否刷新验证码；
15. 如果验证码具有时效性，需要分别验证时效内和时效外验证码的有效性；
16. 多次获取验证码，账户是否会封停or验证码是否都是同一个验证码还是有时间限制的有效期；
17. 是否可以使用登录的API发送登录请求，并绕开验证码校验
18. 登录有时效性是否控制正确
19. 使用中文键盘输入字母时和使用英文键盘输入字母时传给后端的字符长度是否一致；

三、【密码】

1. 密码强弱性校验？
2. 若支持手机号+验证码登录，验证码是否有时间限制？
3. 移动端设备是否可以直接获取验证码？ 用户名和密码是否对空格敏感？
4. 是否可记住密码，记住的密码保存是否加密？
5. 记住密码是否有有效期，有有效期，过期之后是否会清空密码？
6. 常规用例中，用户名密码是否支持特殊字符和中文等
7. 密码是否有明文和暗文先生两种模式（有时候只有暗文显示真的不知道自己的密码是否输入正确）

四、【其他思考点】
27. 是否可以用抓包工具抓到的请求包直接登录
28. 截取到的token等信息，是否可以在其他终端上直接使用，绕开登录。token过期时间校验；
29. 除了前端校验格式长度等，后端是否也校验？
30. 登录后输入登录URL,是否还能再次登录？如果能，原登录用户是否变得无效？
31. 登录错误后的提示是否有安全隐患？
32. 数据库设计和数据超时等
33. 登录的操作日志记录是否准确
37. 登录成功后的session失效设置；
38. 安全性方面异地登录校验、更换设备登录校验、登录信息异常是否考虑账号冻结停用；是否允许第三方工具平台存储密码
39. 涉及资产风险的，对登录设备和地区检测
40. 是否有用到缓存
41. 一个用户是否具备多种登录方式（用户名、手机号、邮箱…）
42. 前后台切换，横竖屏切换
43. 检查http投的refer URL是否为登录起始页的URL，如果不同是否给出正确的提示并做日志记录和报警
44. 对某些系统，还要验证客户端证书是否与用户名匹配，如果不匹配、客户端证书过期、快过期三种情况时是否正确处理和提示
45. 不同输入法的测试，（五笔输入法、简拼等）

五、 【用户体验】
1、输入账号密码时对键盘格式是否有要求比如数字键盘；
2、密码一栏是否需要设置明暗码切换按钮；
3、输入账号密码格式不规范时是否将按钮设置为不可点击；
4、输入栏是否设置快速删除按钮。

六、【GDPR相关】
1、用户登录后存储在数据库中的用户个人信息是否加密；用户登录过程中的log是否有个人信息明文打印；
2、登录用户限制：比如同时支持10个用户登录，同时9个或者11个用户登录是否正常或者提示信息正确

主要针对APP登录测试

1、登录失败后的二次登录
（1）输入正确的用户名，不输入密码，点击登录；登录失败后，再次输入正确的密码登录并且观察登录情况
（2）输入正确的用户名和错误的密码，登录失败后，再次输入正确的密码登录并观察登录情况
（3）输入未注册的用户名和任意密码登录失败后，再次输入正确的用户名和密码，观察登录情况

2、修改密码后
（1）修改完密码后是否重定向到登录页面
（2）修改完密码后，分别使用原密码和新密码登录
（3）在其他终端修改密码后，本终端是否自动下线？下线后，使用原密码能否继续登录？

3、退出登录
（1）退出登录是否有记住账号和记住密码功能；
（2）退出登录后，再次输入密码登录

4、数据同步
（1）第一次登录时，数据的同步情况，如个人头像，好友列表等；
（2）本终端切换其他账号登录后，数据的同步情况，日志记录情况，如：用户文件夹是否自动创建

5、账号互踢
（1）不同页面夏被踢，如：后台运行时被踢，进入前台查看反应；前台运行时一级、二级页面夏被踢能否提示正确并重定向到登录页面
（2）本终端被踢下线后点击登录能否再次登录
（3）安卓和IOS的同账户登录是否有互踢机制；

6、密码错误限制次数
（1）密码输入错误是否有最大次数限制？分别测试最大值-1、最大值、最大值+1时的输错密码情况
（2）超过最大次数限制后，是否采取强制手段限制登录或对账号暂时冻结处理
（3）超过最大次数限制后，分别输入正确的密码和错误的密码再次登录

7、安全性
（1）本终端用户已登录，在其他终端尝试登录本用户账号登录失败时、本终端是否有账号异常操作的安全提示
（2）输入密码时是否有安全键盘模式？点击密码输入框是否能调起安全键盘（参考各大手机银行APP）
（3） 移动设备的游客登录的正确性体验

8、网络相关
（1）无网络模式下登录，是否给出“网络未连接”或者“网络异常”的提示及提示是否正确
（2）第一次登录请求超时后（服务器出问题，随后恢复正常），再次请求登录能否登录成功
（3）第一次无网络情况下登录失败后，再次连接网络并登录
（4）正在登录过程中，遇到网络切换，如（4g 切换到wifi环境时）能否正常登录

9、其他
（1）已登录的用户，杀死APP进程后，再次打开APP是否依然为已登录状态

安全性测试用例

1. 用户密码后台存储是否加密；
2. 用户密码在网络传输过程中是否加密；
3. 密码是否具有有效期，密码有效期到期后，是否提示需要修改密码；
4. 不登录的情况下，在浏览器中直接输入登录后的 URL 地址，验证是否会重新定向到用户登录界面；
5. 密码输入框是否不支持复制和粘贴；
6. 密码输入框内输入的密码是否都可以在页面源码模式下被查看；
7. 用户名和密码的输入框中分别输入典型的“SQL注入攻击”字符串，验证系统的返回页面；
8. 用户名和密码的输入框中分别输入典型的“XSS 跨站脚本攻击”字符串，验证系统行为是否被篡改；
9. 连续多次登录失败情况下，系统是否会阻止后续的尝试以应对暴力破解；
10. 同一用户在同一终端的多种浏览器上登录，验证登录功能的互斥性是否符合设计预期；
11. 同一用户先后在多台终端的浏览器上登录，验证登录是否具有互斥性。
12. 忘记密码界面，可能存在发送短信验证码之前，没有验证用户的情况，导致黑客可以发起无限短信消耗的攻击。另外就是验证了用户，也要限制每天发送3-10次，不能无限发送

性能压力测试用例

1. 单用户登录的响应时间是否小于 3 秒；
2. 单用户登录时，后台请求数量是否过多；
3. 高并发场景下用户登录的响应时间是否小于 5 秒；
4. 高并发场景下服务端的监控指标是否符合预期；
5. 高集合点并发场景下，是否存在资源死锁和不合理的资源等待；
6. 长时间大量用户连续登录和登出，服务器端是否存在内存泄漏。

兼容性测试用例包括

1. 不同浏览器下，验证登录页面的显示以及功能正确性；
2. 相同浏览器的不同版本下，验证登录页面的显示以及功能正确性；
3. 不同移动设备终端的不同浏览器下，验证登录页面的显示以及功能正确性；
4. 不同分辨率的界面下，验证登录页面的显示以及功能正确性。