所有軟件測試基礎課程中,都會拿註冊登錄做例子,網上也能搜一堆,尤其是對於普通賬戶密碼登錄的情況,需要考慮賬戶密碼的長度限制、字符類型、匹配判斷等等。
目前市場上APP常用的登錄方式有賬密登錄、手勢登錄,賬密登錄裡又支持郵箱、賬號、手機號登錄。對於同時支持多種登錄方式的APP,測試時除了考慮每種方式是否能夠登錄成功以外,特別需要考慮不同登錄方式的優先級、對於用戶習慣登錄方式的設置和記憶、各種登錄方式之間的切換、不同設備的不同方式登錄等等。
今天與大家一起對App登錄方式及測試重點進行梳理,主要關注一些特殊點,以及容易出現漏測的情況。
首先是賬密登錄的手機號支持,先了解下手機號登錄的通用流程圖:
一、輸入手機號
1.通用運營商覆蓋。
國內主流的三大運營商,移動、聯通和電信號段。
如果APP有海外版,那麼要考慮海外的電話號碼格式和運營商號段。
2.虛擬號段。
通常情況下測試人員都會考慮到不同運營商的手機號,但是會容易漏掉虛擬號段170和171,而170和171因為是虛擬號段,並無實名制,所以大肆被不法份子所利用的號段,更是容易被一些惡意用戶用來薅羊毛。
3.新開放的號段。
隨著政策變化,國家會時不時開放一些新號段,比如近期開通的聯通166,移動198和電信199,也是測試人員容易忽略掉的。
二、輸入驗證碼
短信驗證碼一般的原理是,前端APP通過短信接口提交一個請求,向服務端提供一個Token參數,服務端對這個Token參數進行校驗,校驗通過之後,再通過該接口向用戶手機發送短信。
1.驗證碼時間限制
通常驗證碼有兩個時間限制,一個是觸發發送的時間,可以有效的避免對單用戶的短信轟炸。通常的表現形式是,在界面上,一旦觸發短信發送後,會設定一個一定時間的倒數,可以是60s,也可以是120s,以此來控制用戶無法重複多次提交發送短信驗證碼的請求。
另一個是接收後的驗證碼有效時間限制。超過限制時間,校驗時會提示該驗證碼已失效,需要重新獲取。
2.驗證碼次數限制
對於連續獲取驗證碼但不進行校驗的手機號,應該要有防刷機制,系統可對該手機號進行保護。達到設定次數時提示超過上限,無法再次觸發給該手機號發送驗證碼。
對使用同一個手機號在一天內獲取驗證碼,也一般會有個最大值的限制。
3.驗證碼的內容
驗證碼的內容,一般是跟隨驗證碼觸發的場景的,比如註冊驗證碼、交易驗證碼。另外驗證碼內容務必要包含品牌的標識,讓用戶一眼感知到這個驗證碼是來自什麼APP,或者什麼公司的。
不管是賬密登錄,還是手勢錄,安全都是接口測試和功能測試的重點,也是容易被很多測試人員所容易漏關注的。
三、安全的測試
1.登錄時效
登錄成功之後的cookie是多久,會否超時自動下線等等。
2.登錄衝突
多個設備同時登錄一個賬戶的處理機制。另外跨平臺是否支持同一賬戶同時登錄等等。
3.登錄異常
跨地域,非常見IP所在地登錄的風險控制機制。長時間未登錄,突然登錄的檢測機制等等。
4.密文傳輸
會否對賬戶密碼進行加密傳輸,日誌脫敏等等。
閱讀更多 說說軟件測試那些事兒 的文章
