测试登录页面的好方法是什么？

Question

在采访中，我经常被问到这个问题。他们绘制用户名和密码文本字段，并问我可以提出哪些测试用例，以确保此页面正常工作。出于某种原因，我对此的回答似乎从未满足于他们。那么，除了下面提到的内容外，我们还能确保该页面运行良好？

我的答案通常包括：

• 检查登录是否可与正确的凭据一起使用
• 检查它是否与错误的凭证无效
• 检查文本字段限制 - 浏览器是否接受超过允许的数据库限制
• 检查密码文本是否隐藏

Answer 1

我不会在这里给您具体的建议：您已经有一些。相反，我将提出一种可以用于此类问题的一般策略。 （下一次访谈可能不是登录对话。这可能是注册表格。）

我在访谈中不使用这个特定的问题，但是当我问这种类型的问题时，我通常在寻找什么，因为人们将能够提出各种测试想法，并且他们不关注特定类型的测试 也 很多。进行一些滚动并在主题上抛出很多变化是可以的，如果稍后再切换到另一个主题并执行同样的话 - 但是，如果您似乎只能提出一种测试想法在测试中，您可能会很快用完，我可能会担心您对测试仪有点狭窄。

当您这样做时，能够在广泛区域中产生很多测试想法和范围，这是我的一个好测试仪的关键指标：我想与既有创造力又分析的人一起工作 - 即，你们俩都可以来提出很多想法，也向我解释了它们的基本模型：安全性，可用性等。

退后一步，屏住呼吸，当您用完想法时，请他们再问几个有关上下文的问题 - 登录对话是什么样的系统？它在哪个平台上运行？它是用于公开可用的Web应用程序吗？还是仅在公司内部到达此页面？这可能会触发更多的测试想法 - 例如，您可能会开始考虑可以重试的登录名来进行多少次 - 如果用户帐户重试了太多次，是否应该锁定？如果是，错误消息是否应该给他们有关如何重置密码的指示？

我建议您尝试查找一些测试启发式方法，并在不同情况下使用它们：例如测试登录对话框，测试注册表格，购物车等。

这是一个很好的开始 - 尝试坐下来，只是在上面所有示例中记录的快速列表。然后与朋友重做，并比较列表：http://www.satisfice.com/articles/sfdpo.shtml

要进一步阅读，我建议使用此资源页面： http://www.developsense.com/resources.html

这种练习将在您承受压力时会有所帮助：您可以退后一步，问自己：一种测试吗？”。

Answer 2

功能测试

1）检查页面是否已加载2）检查输入的密码是否被掩盖了3）如果记住登录，请检查关闭浏览器并重新处理是否不需要登录页4）如果不记忆记忆记录登录，请检查Cookie是否有助于记住会话是否会记住会话在期间5）检查用户ID和密码是否已进行身份验证6）如果有两个步骤身份验证检查是否有效7）如果禁用JavaScript，请检查是否符合'sign on'on'on'提交触发器8）检查登录页面是否为“签名”后重新加载9）检查输入不正确的输入IE无效的用户ID或PWD 10）检查是否显示错误消息或PWD 10）检查是否在未输入密码或用户ID时显示错误密码11）检查是否在登录后，检查是否在新的选项卡中打开网站时，它不会返回登录页面。 13）签名尝试限制

可用性测试

1）用户ID和密码选项卡的可用性2）检查用户ID和密码表单字段是否足够长3）如果有验证码，请检查字符是否可见并且可读4）如果有“记住我”选项，请检查是否是否tick框5）检查是否可用“登录”按钮，可单击6）检查是否可用“签名”按钮，然后单击7）检查显示的消息是否可见，即无效的用户ID和密码'没有截断

兼容性：

1）检查一切是否在不同的浏览器中工作

一体化：

1）如果清洁了cookie或历史记录，则应重新加载登录页面2）如果登录后关闭浏览器，请检查是否在打开时不重新加载登录器3）检查是否登录页面以浏览器隐身模式工作。 4）在会话期间检查浏览器是否在cookie中存储密码。

表现：

1）与多个用户帐户同时登录应用程序并捕获身份验证的延迟

外貌：

1）在请求页面时检查图像和favicon是否已加载2）检查更改浏览器大小时是否重新尺寸

Answer 3

检查基础查询是否安全。您不希望黑客使用注射掉桌子。

http://sqlzoo.net/hack/ 。此页面描述了可以以登录形式使用SQL注入的一种方法。

Answer 4

• 检查无效的字符并正确逃脱。如果您尝试登录为 Mugen'; drop database; -- （不要在生产服务器上测试）。

如果对于网站：

• 检查密码是发送或加密的
• 而不是（也）纯文本。
• 检查它是否在没有JavaScript的情况下工作