俺が考えた最強のログインテストケース

はじめに

俺が考えた最強の会員登録テストケースの続きです。

Webサービスではどこも似たようなことをやってるのではないかと思います。特に会員登録あたりは自動テストで運用しているところも多いのでは無いでしょうか？

今回はEmailでのログインのテストケースを考えてみました。

大事なことなので今回も書きますが、「俺が考えた最強の」とあおっている時はだいたい中身が薄いです。これもそうです。あと現職で使っているテストケースでもありません。

テスト観点

ログインは考慮しないといけないといけないこととして以下の観点があると思います。

- メールアドレスかIDかどちらかでログインできること（サービスによっては電話番号でもログインできる）
‐ そもそもそのメールアドレスが登録されていない場合のエラー
- そもそもそのIDが登録されていない場合のエラー
- パスワード忘れた時のパスワードリセット
- パスワードを複数回間違えたらブロックされるか
- 2段階認証があるか

noteは会員登録にreCAPCHAがあってログインにはreCAPCHAが要求されていないが（なぜかはちょっと私にはわからない）reCAPCHAが必要という前提で考えます。

テストケース

1. 登録済のメールアドレスでパスワードが一致したらログインができること
2. 登録済のIDでパスワードが一致したらログインができること
3. パスワードを忘れた場合にパスワード再設定のメールを送信受信できること
4. 登録済のメールアドレスでもパスワードが一致しない場合にログインができないこと
5. 登録済のIDでもパスワードが一致しない場合にログインができないこと
6. 登録されていないメールアドレスを入力した場合にパスワードが一致してもログインできないこと
7. 登録されていないIDを入力した場合にパスワードが一致してもログインできないこと
8. reCAPCHAにチェックを入れないとログインできないこと
9. パスワードをX回間違えたらY時間ログインできなくなること
10. （あれば）2段階認証の認証番号が正しくなければログインできないこと

まとめ

セキュリティ診断ではないですが、noteの会員登録とログインは要件が少ない気がしました。

例えば会員登録時のパスワードも大文字や記号は必要ではないですし、文字と数字を組み合わせる必要もないですし、ログイン時にreCAPCHAもありませんでした。

noteはおそらく売上等もアカウントで管理していると思うので、なりすましでログインして売上金を自分の口座に振り込ませるとかできるのかできないのかとか、私は売上が無いのでわかりませんが多少心配になりました。