一、权限限制
权限限制我需要单独拎出来讲,它很重要!
很多系统中都存在系统管理员、普通用户等不同角色的用户,系统管理员拥有一些普通用户没有的权限,比如系统管理员可以发布公告,而普通用户则只能查看,系统管理员和用户还有组织上的划分,比如深圳市的系统管理员和普通用户,广东省的管理员和普通用户。
横向越权和纵向越权
就用户角色而言,需要验证低等级用户拥有管理员权限等高于自身级别访问能力,即纵向越权;就用户组织维度来看,需要验证相同组织/不同组织间,是否能访问到不属于自己权限内的资源,即横向越权。
二、状态转换测试
很多被测逻辑可以抽象成状态机,各个状态之间根据功能逻辑,能够从一个状态转换到另一个状态。如果我们打乱了这个次序,从一个状态切换到另一个不在它下一状态集中的状态,那么逻辑将会打乱,就会出现逻辑问题。以一个二级审核功能为例,某UGC平台内,用户提交了一篇文章,要先经过初审,初审通过后才能再进行复审,即两轮审核都通过时,文章才能发布出来。
状态转换 - 二级审核
针对这种状态转换的逻辑,我们需要验证:
正常的状态切换:用户提交 -> 初审通过 -> 复审通过 -> 文章发布成功
非正常的状态切换:
用户提交 -> 初审驳回 -> 复审通过
用户提交 -> 复审通过
用户提交 -> 终审通过
用户提交 -> 已发布
用户提交 -> 终审通过 ->初审通过 ->已发布 等等组合,这种非正常的状态切换,可以在数据库修改数据库的状态,看前端页面的展示是否报错,并且可以通过代码设置拦截器来进行测试和验证。
![[附源码]Python计算机毕业设计SSM基于java的图书管理系统(程序+LW)](https://img-blog.csdnimg.cn/f78f6222a1e3409295272df3b4153500.png)
