网络用户登录测试用例设计

本文基于《软件测试52讲-茹炳晟，01 | 你真的懂测试吗？从“用户登录”测试谈起》的课程总结而来。

一、显式功能性需求（Functional requirement）用例：

1. 输入已注册的用户名和正确的密码，验证是否登录成功；

2. 输入已注册的用户名和不正确的密码，验证是否登录失败，并且提示信息正确；
3. 输入未注册的用户名和任意密码，验证是否登录失败，并且提示信息正确；
4. 输入未激活的、已锁定的、被注销的用户名和正确密码，验证是否登录成功；
5. 用户名和密码两者都为空，验证是否登录失败，并且提示信息正确；
6. 用户名和密码两者之一为空，验证是否登录失败，并且提示信息正确；
7. 第一次登录失败，再次输入正确的用户名和密码，验证是否登录成功；
8. 如果登录功能启用了验证码功能，用户名、密码、验证码都输入正确，验证是否登录成功；
9. 如果登录功能启用了验证码功能，用户名、密码正确，验证码输入错误，验证是否登录失败，并且提示信息正确；
10. 点击验证码图片是否可以更换验证码，更换后的验证码是否可用；
11. 刷新页面是否会刷新验证码，刷新后的验证码是否可用；
12. 如果验证码具有时效性，需要分别验证时效内和时效外验证码的有效性；
13. 无网络模式下登录，是否给出“网络未连接”或“网络异常”的提示；
14. 第一次登录请求超时后（服务器出问题，随后恢复正常），再次请求登录能否登录成功。

有经验的测试工程师会再增加的测试用例：

1. 页面默认焦点是否定位在用户名的输入框中；
2. 快捷键 Tab 和 Enter 等，是否可以正常使用；
3. 用户名和密码是否大小写、空格敏感；
4. 使用中文、英文键盘输入字母传给后端的字符长度是否一致；
5. 前端页面是否根据设计要求限制用户名和密码长度，且前后台都需要限制；
6. 页面上的密码框是否加密显示，是否需要设置明暗码切换按钮；
7. 输入栏是否设置快速删除按钮；
8. 忘记用户名和忘记密码的功能是否可用；
9. 修改密码后，是否重定向到登录页面；
10. 修改密码后，原密码是否作废不可用；
11. 在其他终端修改密码后，PC端是否自动下线，若下线后，使用原密码能否继续登录；
12. 使用默认密码第一次登录成功时，是否提示修改密码；
13. 第一次登录成功，是否会同步其他终端用户信息；
14. 用户登录成功但是会话超时后，继续操作是否会重定向到用户登录界面；
15. 不同级别的用户，比如管理员用户和普通用户，登录系统后的权限是否正确；
16. 输入错误密码的限制次数：

        分别测试最大值-1、最大值、最大值+1 时的输错密码情况；

        超过最大次数限制后，是否采取强制手段限制登录或对账号暂时冻结处理；

        超过最大次数限制后，分别输入正确的密码和错误的密码再次登录。

二、非功能性需求（Non-functional requirement）用例：

安全性测试用例：

1. 用户名、密码、验证码输入框是否不支持复制和粘贴；
2. 密码输入框内输入的密码是否都可以在页面源码模式下被查看；
3. 用户密码后台存储是否加密；
4. 用户密码在网络传输过程中是否加密；
5. 密码是否具有“有效期”，密码有效期到期后，是否提示需要修改密码；
6. 是否可记住密码，记住的密码保存是否加密；
7. 记住密码是否有“有效期”，若有“有效期”，过期之后是否会清空密码；
8. 登录成功后的session时效设置；
9. 登录错误后的提示是否有安全隐患；
10. 退出登录后再次登录，使用记住的密码，是否登录成功；
11. 不登录的情况下，在浏览器中直接输入登录后的 URL 地址，验证是否会重新定向到用户登录界面；
12. 用户登录过程中log中是否有个人信息明文打印
13. 用户名和密码的输入框中分别输入典型的“SQL 注入攻击”字符串，验证系统的返回页面；
14. 用户名和密码的输入框中分别输入典型的“XSS 跨站脚本攻击”字符串，验证系统行为是否被篡改；
15. 连续多次登录失败情况下，系统是否会阻止后续的尝试以应对暴力破解；
16. 登录后输入登录URL，是否还能再次登录？如果能，原登录用户是否变得无效；
17. 同用户同终端的多种浏览器上登录，验证登录功能的互斥性是否符合设计预期；
18. 同用户不同终端，先后登录，验证登录是否具有互斥性；
19. 同用户同浏览器已经登录，再次打开一个标签页时，是否需要重新登录；
20. 不同用户在同终端同浏览器登录，验证登录信息token的正确性；
21. 不同用户在同终端同浏览器登录，被踢后，页面是否会跳转到登录页；
22. 是否支持第三方登录，如微信、QQ、微博；
23. 是否允许第三方工具平台存储密码；
24. 是否可以使用登录的API发送登录请求，并绕开验证码校验；
25. 是否可以用抓包工具抓到的请求包直接登录；
26. 截取到的token等信息，是否可以在其他终端上直接使用，绕开登录。token过期时间校验；

性能压力测试用例:

1. 单用户登录的响应时间是否小于 3 秒；
2. 单用户登录时，后台请求数量是否过多；
3. 高并发场景下用户登录的响应时间是否小于 5 秒；
4. 高并发场景下服务端的监控指标是否符合预期；
5. 高集合点并发场景下，是否存在资源死锁和不合理的资源等待；
6. 长时间大量用户连续登录和登出，服务器端是否存在内存泄漏。

兼容性测试用例：

1. 不同浏览器下，验证登录页面的显示以及功能正确性；
2. 相同浏览器的不同版本下，验证登录页面的显示以及功能正确性；
3. 不同移动设备终端的不同浏览器下，验证登录页面的显示以及功能正确性；
4. 不同分辨率的界面下，验证登录页面的显示以及功能正确性；
5. 网络延迟或者弱网或者切换网络或者断网时正常登录是否正常

三、补充：

还有是是否用到缓存？

测试用例究其根本还是要围绕需求，从需求中提炼出的测试点才是有效的。

其次，对被测对象业务的熟悉程度，也决定了能否设计出高质量的用例。

毕竟各个功能点之间是有联系和影响的，往往这中间的联系会隐藏很多被我们忽略掉或者是想不到的用例。