通用登录流程及测试重点

发表于:2018-4-12 15:54

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:alice_tl    来源:CSDN

  目前市场上APP常用的登录方式有账密登录、手势登录、人脸识别登录,账密登录里又支持邮箱、账号、手机号登录。对于同时支持多种登录方式的APP,测试时除了考虑每种方式是否能够登录成功以外,特别需要考虑不同登录方式的优先级、对于用户习惯登录方式的设置和记忆、各种登录方式之间的切换、不同设备的不同方式登录等等。
  软件测试技术测试用例篇,都会拿注册登录做例子,网上也能搜一堆,尤其是对于普通账户密码登录的情况,需要考虑账户密码的长度限制、字符类型、匹配判断等等。
  所以这里不会重复讲常规的测试点了,会讲一些特殊点,以及容易出现漏测的情况。首先是账密登录的手机号支持,先了解下手机号登录的通用流程图: 
  输入手机号
  1.通用运营商覆盖。
  国内主流的三大运营商,移动、联通和电信号段。
  如果APP有海外版,那么要考虑海外的电话号码格式和运营商号段。
  2.虚拟号段。
  通常情况下测试人员都会考虑到不同运营商的手机号,但是会容易漏掉虚拟号段170和171,而170和171因为是虚拟号段,并无实名制,所以大肆被不法份子所利用的号段,更是容易被一些恶意用户用来薅羊毛。
  3.新开放的号段。
  随着政策变化,国家会时不时开放一些新号段,比如近期开通的联通166,移动198和电信199,也是测试人员容易忽略掉的。
  输入验证码
  短信验证码一般的原理是,前端APP通过短信接口提交一个请求,向服务端提供一个Token参数,服务端对这个Token参数进行校验,校验通过之后,再通过该接口向用户手机发送短信。
  1.验证码时间限制
  通常验证码有两个时间限制,一个是触发发送的时间,可以有效的避免对单用户的短信轰炸。通常的表现形式是,在界面上,一旦触发短信发送后,会设定一个一定时间的倒数,可以是60s,也可以是120s,以此来控制用户无法重复多次提交发送短信验证码的请求。
  另一个是接收后的验证码有效时间限制。超过限制时间,校验时会提示该验证码已失效,需要重新获取。
  2.验证码次数限制
  对于连续获取验证码但不进行校验的手机号,应该要有防刷机制,系统可对该手机号进行保护。达到设定次数时提示超过上限,无法再次触发给该手机号发送验证码。
  对使用同一个手机号在一天内获取验证码,也一般会有个最大值的限制。
  3.验证码的内容
  验证码的内容,一般是跟随验证码触发的场景的,比如注册验证码、交易验证码。另外验证码内容务必要包含品牌的标识,让用户一眼感知到这个验证码是来自什么APP,或者什么公司的。
  人脸识别的登录测试,重点要考虑被恶意攻击的场景,详见这一篇文章
  http://www.51testing.com/html/20/n-3725820.html
  不管是账密登录,还是人脸登录,安全都是接口测试功能测试的重点,也是容易被很多测试人员所容易漏关注的。
  安全的测试
  1.登录时效。
  登录成功之后的cookie是多久,会否超时自动下线等等。
  2.登录冲突。
  多个设备同时登录一个账户的处理机制。另外跨平台是否支持同一账户同时登录等等。
  3.登录异常。
  跨地域,非常见IP所在地登录的风险控制机制。长时间未登录,突然登录的检测机制等等。
  4.密文传输。
  会否对账户密码进行加密传输,日志脱敏等等。


本文经作者授权同意转载,如有问题联系博为峰小编(021-64471599-8017)。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号