基本信息：帐号、密码、验证码 、第三方登录方式

提测后的测试流程：先以最简单的方式（全部输入都正确）走通登录流程，再一一分解每一步。

一、功能上的测试点：

1、输入框

1）是否大小写敏感

2）是否支持复制、黏贴

3）输入栏是否设置快速删除按钮

4）输入格式不规范时，是否有相关提示

    a、特殊字符/空/空格/中文

    b、输入的长度过长

    c、输入SQL注入攻击字符串，验证系统的返回页面

    d、输入XSS跨站脚本攻击字符串，验证系统行为是否正确

5）键盘

    a、输入帐号密码时，对键盘格式是否有要求，如数字键盘（ps：常见于金融类应用）

    b、使用中文键盘输入字母和使用英文键盘输入字母时，传给后端的字符长度是否一致

6）帐号、密码、验证码的输入框输入信息的个数：0、1、2、3

    a、有未输入的内容或全都未输入时，是否有相关提示

    注意：各提示间是否的显示顺序。如帐号和验证码都未输入时，一般先提示“请输入帐号”。而不会先提示“请输入验证码”。

    b、有输入错误内容时，是否有相关提示

    c、输入全部正确时，是否登录成功

2、帐号

1）是否已注册

    a、帐号已注册，输入正确密码，是否登录成功

    b、帐号已注册，输入错误密码，是否有相关提示

    c、帐号未注册，是否有相关提示

3、密码

1）是否可见

2）忘记密码的功能是否可用

3）记住密码

    a、记住密码是否有有效期

        a）过期后是否会提示用户

        b）过期后，是否会自动清空密码

    b、保存是否有加密处理

4）更改密码之后，新密码是否立即生效，旧密码是否立即失效

5）由后台创建的用户（有默认密码），第一次登陆成功后，是否提示用户修改密码

4、验证码

1）图形验证码

    a、手动刷新后，验证码是否更新

        a）刷新验证码的按钮

        b）手动刷新界面（针对web端）

        c）重启应用（针对PC端和App端）

    b、单击图片，验证码是否更新

    c、更新后的验证码是否立即生效

    d、更新前的验证码是否立即失效

2）短信验证码

    a、移动端是否可以正常获取验证码

3）时效性

    a、时效性内是否有效

    b、时效性外是否无效

5、登录方式

1）是否支持用户名、手机号、邮箱等方式登录

2）是否支持第三方帐号登录

    a、绑定第三方帐号后，是否立即生效

    b、解绑当下，已经登录的第三方帐号，是否自动登出

    c、解绑后，是否还能使用第三方帐号正常登录

3）自动登录

    a、有效期内，自动登录是否有效

    b、有效期外，是否有相关提示，并失效

    c、有效期内，重启设备后，是否仍有效

4）二次登录是否正常

    a、输入错误后，再登录是否正常

5）退出再登录

    a、有记住密码时，是否显示加密的密码

    b、手动输入密码，是否登录正常

6、数据同步

1）第一次登录时，数据是否正确

2）有多端时，本终端切换其他帐号登录，数据是否正确

3）在其他端修改信息后，本终端数据是否实时更新

7、其他

1）页面默认焦点是否定位在帐号的输入框中

2）快捷键Tab和Enter等，是否可用

3）用户类型

    a、不同级别的用户，登录后的权限是否正确

        a）普通用户和VIP用户的区别

        b）管理员和非管理的区别

    b、用户的使用状态

        a）帐号未激活，提示是否正确

        b）帐号被停用，提示是否正确

    c、是否分国内用户和海外用户

4）网络状况

    a、无网时，是否有相关提示

    b、无网下登录失败后，再联网登录，是否正常

    c、切换网络或断网，登录是否正常

    d、网络延迟或弱网，是否登录正常

    e、第一次登录请求超时时，再次请求登录，是否正常（使用场景：服务器出问题，随后恢复正常）

二、安全性

1、密码

1）后台存储是否加密

2）网络传输过程中是否加密

3）是否具有有效期

    a、过期后，是否提示用户修改密码

4）是否允许第三方平台存储密码

5）是否有限制密码输入错误的次数

    a、超过最大限制次数后，输入正确密码进行登录，是否可以正常登录

    b、超过最大限制次数时，再输入错误密码进行登录，是否有相关提示

    c、超过最大限制次数时，是否采用强制手段限制登录或对帐号进行暂时冻结

2、web端的登录

1）不登录的情况下，在浏览器中访问输入登录后的URL地址，是否会重定向到登录页面

2）密码是否可以在页面源码模式下被查看

3）是否可以用登录的API发送登录请求，绕过验证码校验

4）是否可以用抓包工具抓到的请求包直接登录

5）截取到的token等信息，是否可以在其他终端上直接使用，绕过登录步骤

3、各端间的互斥性

1）浏览器

    1）同一用户在同一终端的不同浏览器上登录

    2）同一用户先后在多台终端的浏览器上登录

2）对于三端都有的应用，相互间的登陆是否互斥

    a、三端包括：web端、手机端（Android/iOS）、PC端（win/mac）

    b、有互斥性时，本终端用户已登录，在其他端尝试登录失败时，是否会有帐号异常操作的安全提示

3）应用在不同页面下被踢出

    a、在后台运行时被踢，需进入前台查看反应

    b、在前台运行时，分别在一级、二级等界面下被踢，提示是否正确，并重新定向到登录页面

4、其他

1）登录用户的数量是否有限制

    a、超过同时登录数时，是否有相关提示

2）log/操作日志/行为操作 的记录是否准确

3）登录后的错误提示是否有安全隐患

4）登录成功后的session、cookie失效设置

5）涉及资产风险的应用，对登录设备和地区的检测

    a、异地登录\更换设备登录

    b、登录信息异常时，是否通知原登录设备

    c、登录信息异常时，是否考虑帐号冻结、停用

三、性能（需自动化测试）

1、单用户登录的相应时间是否小于3秒

2、单用户登录时，后台请求数量是否过多

3、高并发场景下，用户登陆的响应时间是否小于5秒

4、高并发场景下，服务端的监控指标是否符合预期

5、高集合点并发场景下，是否存在资源死锁和不合理的资源等待

6、长时间大量用户连续登陆和登出，服务器是否存在内存泄露

7、输入内容校验是否加入了函数防抖

四、兼容性

1、浏览器

1）同一端的不同浏览器

2）相同浏览器的不同版本

3）不同移动设备终端的不同浏览器

4）显示倍数

2、分辨率

3、系统

1）Windows系统

    a、xp、win7、win8、win10…

    b、32位，64位

2）Mac系统：os10.8、10.9、10、10、10.11、10.12、10.13…