前端

  账户名、密码、验证码 是否为空？

  密码是否符合规则(特殊字符、大小写、数字、长度..)

服务端

  验证码是否正确 （对应时间戳是否过期）

  账户是否存在 （未注册、已注销）

  密码是否正确  （记录连续输入错误次数，超过5次，账号锁定4小时。或提升验证等级，采取账号+密码+验证码+短信验证）

  返回session、token

一、基本功能测试点：

1. 输入正确的用户名和密码登录成功
2. 输入错误的用户名密码登录失败
3. 用户名正确，密码错误，是否提示输入密码错误？
4. 用户名错误，密码正常，是否提示输入用户名错误？
5. 用户名和密码都错误，是否有相应提示？
6. 用户名密码为空时，是否有相应提示？
7. 如果用户未注册，提示请先注册，然后进行登录
8. 已经注销的用户登录失败，提示信息友好？
9. 密码框是否加密显示？
10. 用户名是否支持中文、特殊字符？
11. 用户名是否有长度限制？
12. 密码是否支持中文，特殊字符？
13. 密码是否有长度限制？
14. 密码是否区分大小写？
15. 密码为一些简单常用字符串时，是否提示修改？如：123456
16. 密码存储方式？是否加密？
17. 登录功能是否需要输入验证码？
    1. 验证码有效时间？
    2. 验证码输入错误，登录失败，提示信息是否友好？
    3. 输入过期的验证能否登录成功？
    4. 验证码是否容易识别？
    5. 验证码换一张功能是否可用？点击验证码图片是否可以更换验证码？
18. 用户体系：比如系统分普通用户、高级用户，不同用户登录系统后可的权限不同。
19. 如果使用第三方账号(QQ,微博账号)登录，那么第三方账号与本系统的账号体系对应关系如何保存？首次登录需要极权等

二、页面测试：

1. 登录页面显示是否正常？文字和图片能否正常显示，相应的提示信息是否正确，按钮的设置和排列是否正常，页面是否简洁壮观等。
2. 页面默认焦点是否定位在用户名的输入框中
3. 首次登录时相应的输入框是否为空？或者如果有默认文案，当点击输入框时默认方案是否消失？
4. 相应的按钮如登录、重置等，是否可用;页面的前进、后退、刷新按钮是否可用？
5. 快捷键Tab,Esc,Enter 等，能否控制使用
6. 兼容性测试：不同浏览器，不同操作系统，不同分辨率下界面是否正常

三 、安全测试：

1. 不登录：浏览器中直接输入登录后的地址，看是否可以直接进入
2. 登录成功后生成的cookie，是否是httponly (否则容易被脚本盗取)

3. 用户名和密码是否通过加密的方式，发送给Web服务器 

4. 用户名和密码的验证，应该是用服务器端验证， 而不能单单是在客户端用javascript验证 

    

5. 用户名和密码的输入框，应该屏蔽SQL 注入攻击 

    

6. 用户名和密码的的输入框，应该禁止输入脚本 （防止XSS攻击） 

    

7. 错误登陆的次数限制（防止暴力破解） 

    

8. 考虑是否支持多用户在同一机器上登录； 

    

9. 考虑一用户在多台机器上登录

四、性能测试：

1. 单用户登录系统的响应时间是否符合"3-5-8"原则
2. 用户数在临界点时并发登录是否还能符合"3-5-8"原则
3. 压力：大量并发用户登录，系统的响应时间是多少？系统会出现宕机、内存泄露、cpu饱和、无法登录吗?
4. 稳定性： 系统能否处理并发用户数在临界点以内连续登录N个时的场景？

五、其它测试：

1. 连续输入3次或以上错误密码，用记是否被锁一定时间（如：15分钟）？时间内不允许登录，超出时间点是否可以继续登录。
2. 用户session过期后，重新登录是否还能重新返回这前session过期的页面？
3. 用户名和密码输入框是事支持键盘快捷键？如：撤销、复制、粘贴等等
4. 是否允许同名用户同时登录进行操作？考虑web和app同时登录
5. 手机登录时，是否先判断网络可用？
6. 手机登录时，是否先判断app存在新版本？
7. 是否支持单点登录？
8. 是否有埋点接口

功能测试：
1.输入正确的用户名和密码，点击提交按钮，验证是否能正确登录。
2.输入错误的用户名或者密码, 验证登录会失败，并且提示相应的错误信息。
3.登录成功后能否能否跳转到正确的页面
4.用户名和密码，如果太短或者太长，应该怎么处理
5.用户名和密码，中有特殊字符，和其他非英文的情况
6.记住用户名的功能
7.登陆失败后，不能记录密码的功能
8.用户名和密码前后有空格的处理
9.密码是否以星号显示
10.用户名和密码都有最大和最小长度，根据边界值分析，取上点、离点，内点
11.用户名和密码都有字符类型要求，根据等价类分析，划分几个无效及有效等价类
12.验证必填项为空是否可以正常进入
13.用户名密码输入特殊字符，如/’ “ 或程序语言等
14.输入密码时，大写键盘开启时要求有提示信息
15.改变已存在用户的用户名和密码的大小写来登录
16.登录后是否会用明文传递参数
17.数据库中不存在的用户名，或存在的用户名，错误的密码来登录
18.输入的正确的用户名或密码前后中间有空格
19.选中记住密码是否可以保存密码，重新打开是否保存着正确的密码
20.选中记住密码后换一个账户，保存的密码是否正确地与账号对应
21.登录后保存里面的链接，关了浏览器直接复制链接看能不能访问
界面测试：
1.布局是否合理，2个testbox 和一个按钮是否对齐
2.testbox和按钮的长度，高度是否复合要求
3.界面是否好看
4.图片，颜色，字体，超链接，是否都显示正确
性能测试：
1.打开登录页面，需要几秒
2.输入正确的用户名和密码后，登录成功跳转到新页面，不超过5秒
3.能支持多少个用户同时登陆
安全性测试：
1.登录成功后生成的cookie，是否是httponly (否则容易被脚本盗取)
2.用户名和密码是否通过加密的方式，发送给Web服务器
3.用户名和密码的验证，应该是用服务器端验证， 而不能单单是在客户端用javascript验证
4.用户名和密码的的输入框，应该禁止输入脚本 （防止XSS攻击）
5.错误登陆的次数限制（防止暴力破解）
6.密码一般要求不可以复制粘贴
7.用户名和密码的输入框，要求屏蔽SQL注入，如输入or 1=1
8.cookie有效时间验证
9.是否允许多用户同时登录
10.使用已被删除或禁用的账号登录
可用性测试：

是否可以全用键盘操作，是否有快捷键
2.输入用户名，密码后按回车，是否可以登陆
兼容性测试：
1.主流的浏览器下能否显示正常已经功能正常（IE,6,7,8,9, Firefox, Chrome, Safari,等）
2.不同的平台是否能正常工作，比如Windows, Mac
3.移动设备上是否正常工作，比如Iphone, Andriod
4.不同的分辨率
5.不同的浏览器大小 （浏览器最大化， 和非最大化）
软件辅助性测试
软件辅助功能测试是指测试软件是否向残疾用户提供足够的辅助功能
高对比度下能否显示正常 （视力不好的人使用）

1》、文件类型检查
1.指定的文件类型，允许上传
2.指定之外的文件类型，不允许上传并做出合理提示
3.指定的文件类型后缀大写，允许上传
4.指定的文件类型后缀大小写混合，允许上传

2》、文件大小检查
假设限制上传文件最大为X：
1.指定文件类型的文件小于X，允许上传
2.指定文件类型的文件等于X，不允许上传
3.指定文件类型的文件大于X，不允许上传并给出合理提示
4.指定文件类型的文件等于0，视具体需求看是否允许上传
5.非指定文件类型的文件大于X，不允许上传并给出合理提示
6.剩余存储空间不足，上传失败并做出提示
7.剩余存储空间已满，上传失败并做出提示
8.如果没有限制上传文件大小的话，建议测试下超大文件的上传

3》、文件名称检查
1.文件名称符合命名规范，允许上传（名称是否允许包含中文、数字、特殊符号等等，这里的命名规范要看具体的需求）
2.文件名称不符合命名规范，不允许上传（这里的命名规范要看具体的需求）
3.文件名称有长度限制-符合长度限制，允许上传
4.文件名称有长度限制-不符合长度限制，不允许上传
5.文件名称没有长度限制-Windows文件名称最短1个字符，允许上传
6.文件名称没有长度限制-文件名称是Windows允许输入的最长名称（区分中英文），允许上传

4》、文件路径检查
1.手动输入当前路径下存在的文件名，允许上传
2.手动输入当前路径下不存在的文件名，不允许上传
3.手动输入当前路径先不合法的文件名，不允许上传
4.手动输入正确的文件路径，允许上传
5.手动是输入不存在的文件路径，不允许上传
6.文件已打开，允许上传

5》、文件上传响应时间检查
1.上传正常大小的文件，检查上传时间是否在可接受范围内（或者需求是否对上传时间有具体要求）

6》、文件内容检查
1.同名文件是否可以上传，视具体需求和应用场景来定
2.文件内容要求的规则，上传成功
3.文件内容不符合要求的规则，上传失败
4.病毒文件，上传失败

7》、上传页面检查
1.上述每种上传失败是否有提示，提示是否合理
2.上传成功的是否有提示，提示是否合理
3.文件上传是否显示进度，进度显示是否正常

8》、文件上传中
1.文件上传中，文件被删除，上传失败
2.文件上传中，文件所在文件夹被删除，上传失败
3.文件上传中，文件名称被修改，上传失败
4.文件上传中，文件类型被修改，上传失败
5.文件上传中断网，上传失败
6.文件上传中取消上传
7.文件上传中关闭标签页、关闭浏览器

9》、上传后
1.文件上传后如何存储？存数据库还是存缓存？
2.上传文件的数据是否转存数据库，写入数据库的信息是否准确
3.文件删除前端提示删除成功，对应数据库记录更新
4.文件上传后是否存缓存？使用时如何准确获取缓存？缓存更新是否合理？缓存是否定时删除？缓存空间预留是否合理？
5.文件删除前端提示删除成功，对应缓存记录更新
6.文件上传都是否可以下载-下载后内容与上传时一致
7.文件上传都是否可以预览-预览内容与上传时一致
8.文件上传成功后样式合理

10》、上传权限验证
1.非授权用户不可上传
2.授权用户可以上传
3.非授权用户不可以删除
4.授权用户可以删除

11》、其他验证
1.多个用户同时上传同名文件，上传时间正常， 上传后各自的文件名包括文件内容正确

最后，在设计测试用例时，还是要考虑具体的需求和开发方案来设计切合实际的测试用例哦~

另外：还要考虑节省系统内存资源，提高效率。已经在数据库存在的文件，就不要再次调上传的函数了，直接去数据库对应存在的文件库里面找到即可。

文件命名限制带有 / ：* ？ " < > |

二、论坛测试点