# Fonrey 登录模块测试用例文档(可自动化) > 文档版本:v1.0 > 适用范围:`PRD/登录管理/用户登录管理模块PRD.md` v2.0 > 用例编号范围:`TC-FON-000001` ~ `TC-FON-000048`(全局唯一) > 编号规范:`TEST_CASES/TEST_CASE_ID_SPEC.md` --- ## 1. 目标与原则 1. 本文档用于让工程师直接生成自动化测试代码(API 集成测试 + Web E2E)。 2. 每个测试用例均包含**唯一ID**和**步骤ID**,可直接用于失败定位与测试报告。 3. 用例覆盖登录模块 MVP 正式范围: - Story 1:Tenant 识别 - Story 2:手机号+密码登录 - Story 3:短信找回密码 - Story 5:短信验证码登录 4. Story 4(找回用户名)已废弃,不实现。 5. Story 6(微信扫码)为预留,不实现,仅验证禁用态。 --- ## 2. 自动化执行与报告要求(工程实现必须遵循) - 执行层: - API 集成:`pytest + pytest-django + TenantClient` - Web E2E:`playwright` - 每步必须输出:`run_id / test_case_id / step_id / status / expected_result / actual_result / error_message` - 失败时必须附带: - Web:截图路径 - API:请求响应快照 + 关键日志路径 --- ## 3. 全量测试用例清单(48条) ### 3.0 登录模块 API 端点口径(以 PRD 为准) - `POST /api/auth/tenant/verify/` - `GET /api/auth/captcha/` - `POST /api/auth/captcha/verify/` - `POST /api/auth/login/` - `POST /api/auth/login/phone/` - `POST /api/auth/recover/password/request/` - `POST /api/auth/recover/password/verify/` - `POST /api/auth/recover/password/reset/` - `POST /api/auth/logout/` > 注:测试代码生成与接口调用必须使用以上路径。 ## A. Tenant 识别(Story 1) ### TC-FON-000001 Tenant Code 页面首启展示 - 级别:E2E - 前置:本地无 Tenant Code 缓存 - 步骤: - `TC-FON-000001-S01` 启动应用/打开登录入口页 - `TC-FON-000001-S02` 检查是否进入 Tenant 识别页 - `TC-FON-000001-S03` 校验页面元素(Logo、文案、输入框、确认按钮) - 预期:显示 Tenant 识别页且元素完整 ### TC-FON-000002 Tenant Code 输入去空格与粘贴 - 级别:E2E - 前置:在 Tenant 识别页 - 步骤: - `TC-FON-000002-S01` 粘贴 ` 202500010001 ` - `TC-FON-000002-S02` 点击确认 - `TC-FON-000002-S03` 观察发送请求参数 - 预期:请求中的 tenant_code 为 `202500010001` ### TC-FON-000003 Tenant Code 非12位拦截 - 级别:E2E - 前置:Tenant 识别页 - 步骤: - `TC-FON-000003-S01` 输入 `20250001` - `TC-FON-000003-S02` 点击确认 - `TC-FON-000003-S03` 检查错误提示 - 预期:提示“识别码须为12位数字”,不发请求 ### TC-FON-000004 Tenant 验证成功流程 - 级别:API+E2E - 前置:合法 tenant_code 存在 - 步骤: - `TC-FON-000004-S01` 调用 `POST /api/auth/tenant/verify/` - `TC-FON-000004-S02` 校验 `valid=true` 且返回租户品牌信息 - `TC-FON-000004-S03` 前端跳转登录页并展示“正在登录:XX房产” - 预期:成功跳转并写入本地缓存 ### TC-FON-000005 Tenant 验证失败(无效识别码) - 级别:API+E2E - 前置:tenant_code 不存在 - 步骤: - `TC-FON-000005-S01` 调用 `POST /api/auth/tenant/verify/` - `TC-FON-000005-S02` 校验 `valid=false` 与错误码 - `TC-FON-000005-S03` 校验前端错误提示与不落缓存 - 预期:提示“识别码无效...”,允许重试 ### TC-FON-000006 Tenant 验证网络异常重试 - 级别:E2E - 前置:模拟网络失败 - 步骤: - `TC-FON-000006-S01` 点击确认触发请求失败 - `TC-FON-000006-S02` 检查“网络连接失败”提示 - `TC-FON-000006-S03` 点击重试并恢复 - 预期:重试可再次发起请求 ### TC-FON-000007 非首启跳过识别页 - 级别:E2E - 前置:本地已有合法 Tenant Code - 步骤: - `TC-FON-000007-S01` 打开应用 - `TC-FON-000007-S02` 检查是否直接进入登录页 - `TC-FON-000007-S03` 检查租户品牌信息回填 - 预期:跳过识别页 ### TC-FON-000008 切换公司入口流程 - 级别:E2E - 前置:已在登录页 - 步骤: - `TC-FON-000008-S01` 点击“切换公司” - `TC-FON-000008-S02` 校验二次确认文案 - `TC-FON-000008-S03` 确认后检查缓存清除并回到识别页 - 预期:缓存清除成功并跳回识别页 ### TC-FON-000009 Tenant 验证接口无需鉴权 - 级别:API - 前置:未登录 - 步骤: - `TC-FON-000009-S01` 不带 token 调用验证接口 - `TC-FON-000009-S02` 校验响应状态 - `TC-FON-000009-S03` 校验业务结构 - 预期:接口可访问(非401/403) ### TC-FON-000010 Tenant 验证接口IP限流 - 级别:API - 前置:同IP连续请求 - 步骤: - `TC-FON-000010-S01` 1分钟内发起11次请求 - `TC-FON-000010-S02` 校验前10次正常 - `TC-FON-000010-S03` 校验第11次被限流 - 预期:触发每分钟≤10次限制 --- ## B. 密码登录(Story 2) ### TC-FON-000011 密码登录页元素完整 - 级别:E2E - 步骤:`S01` 打开密码登录页;`S02` 检查手机号/密码/滑块/登录按钮;`S03` 检查忘记密码入口 - 预期:元素齐全 ### TC-FON-000012 手机号输入仅数字11位 - 级别:E2E - 步骤:`S01` 输入含字母字符;`S02` 观察自动过滤;`S03` 检查长度限制 - 预期:仅数字,最长11位 ### TC-FON-000013 密码明文/密文切换 - 级别:E2E - 步骤:`S01` 输入密码;`S02` 点击眼睛图标显示明文;`S03` 再次点击恢复密文 - 预期:切换正常 ### TC-FON-000014 三项未完成时登录按钮置灰 - 级别:E2E - 步骤:`S01` 只填手机号;`S02` 再填密码;`S03` 未完成滑块时检查按钮状态 - 预期:按钮不可点击 ### TC-FON-000015 滑块验证失败不计入密码错误次数 - 级别:API+E2E - 步骤: - `TC-FON-000015-S01` 调用 `GET /api/auth/captcha/` 获取 challenge - `TC-FON-000015-S02` 调用 `POST /api/auth/captcha/verify/` 提交错误轨迹 - `TC-FON-000015-S03` 检查滑块失败提示与刷新,且登录失败计数未增加 - 预期:不计入账号锁定计数 ### TC-FON-000016 滑块验证成功状态保持至提交 - 级别:E2E - 步骤:`S01` 完成滑块;`S02` 检查“验证通过”状态;`S03` 立即点登录 - 预期:状态有效并允许提交 ### TC-FON-000017 登录前端校验-手机号为空 - 级别:E2E - 步骤:`S01` 留空手机号;`S02` 点登录;`S03` 检查提示 - 预期:提示“请输入手机号” ### TC-FON-000018 登录前端校验-手机号不足11位 - 级别:E2E - 步骤:`S01` 输入10位;`S02` 点登录;`S03` 检查提示 - 预期:提示“请输入完整的11位手机号” ### TC-FON-000019 登录前端校验-密码为空 - 级别:E2E - 步骤:`S01` 填手机号与滑块通过;`S02` 密码留空;`S03` 点登录 - 预期:提示“请输入密码” ### TC-FON-000020 登录前端校验-未完成滑块 - 级别:E2E - 步骤:`S01` 填手机号密码;`S02` 不做滑块;`S03` 点登录 - 预期:提示“请完成滑块验证” ### TC-FON-000021 密码登录成功(is_initial_password=False) - 级别:API+E2E - 步骤: - `TC-FON-000021-S01` 调用 `POST /api/auth/login/` 提交正确手机号/密码与 `captcha_pass_token` - `TC-FON-000021-S02` 校验返回 token 与 `is_initial_password=false` - `TC-FON-000021-S03` 校验跳首页欢迎语 - 预期:登录成功进入首页 ### TC-FON-000022 密码登录成功(is_initial_password=True) - 级别:API+E2E - 步骤:`S01` 使用初始密码登录;`S02` 校验返回标志true;`S03` 校验跳转强制改密页 - 预期:不可访问其他页面 ### TC-FON-000023 密码错误提示统一 - 级别:API+E2E - 步骤:`S01` 提交错误密码;`S02` 校验错误文案;`S03` 校验密码框清空+手机号保留+滑块刷新 - 预期:提示“手机号或密码错误,请重新输入” ### TC-FON-000024 连续错误5次触发账号锁定 - 级别:API - 步骤:`S01` 连续5次密码错误;`S02` 校验第5次后状态locked;`S03` 校验locked_until=now+30min - 预期:账号锁定成功 ### TC-FON-000025 锁定期间登录被拒绝 - 级别:API+E2E - 步骤:`S01` 对locked账号发起登录;`S02` 校验提示文案;`S03` 校验登录按钮置灰 - 预期:拒绝登录 ### TC-FON-000026 30分钟后自动解锁 - 级别:API - 步骤:`S01` 构造锁定到期账号;`S02` 时间推进30分钟后重试;`S03` 校验恢复登录能力 - 预期:自动解锁 ### TC-FON-000027 账号停用登录拦截 - 级别:API+E2E - 步骤:`S01` 停用账号发起登录;`S02` 校验错误码;`S03` 校验前端提示 - 预期:提示“账号已停用,请联系您的管理员” ### TC-FON-000028 Session过期跳转登录 - 级别:E2E - 步骤:`S01` 进入受保护页面;`S02` 使session过期;`S03` 执行动作触发跳转 - 预期:跳回登录并提示“登录已过期,请重新登录” --- ## C. 首次登录强制改密(Story 2/3 公共密码组件) ### TC-FON-000029 首次登录强制改密页不可跳过 - 级别:E2E - 步骤:`S01` 初始密码登录;`S02` 尝试访问其他功能路由;`S03` 检查仍停留改密流程 - 预期:不可绕过 ### TC-FON-000030 新密码强度校验 - 级别:API+E2E - 步骤:`S01` 输入弱密码;`S02` 提交;`S03` 检查强度错误提示 - 预期:拒绝弱密码 ### TC-FON-000031 新密码不得与最近3次重复 - 级别:API - 步骤:`S01` 构造历史密码3条;`S02` 提交重复密码;`S03` 校验错误码 - 预期:拒绝历史重复 ### TC-FON-000032 首次改密成功后状态更新 - 级别:API - 步骤:`S01` 提交合法新密码;`S02` 校验is_initial_password=false;`S03` 校验password_histories新增 - 预期:状态正确更新 ### TC-FON-000033 首次改密成功后直接进入系统 - 级别:E2E - 步骤:`S01` 完成改密提交;`S02` 检查成功反馈;`S03` 校验跳首页 - 预期:进入首页 --- ## D. 找回密码(Story 3) ### TC-FON-000034 忘记密码入口可达 - 级别:E2E - 步骤:`S01` 登录页点击忘记密码;`S02` 校验进入Stepper;`S03` 校验步骤一元素 - 预期:进入找回密码流程 ### TC-FON-000035 步骤一手机号格式校验 - 级别:E2E - 步骤:`S01` 输入不足11位手机号;`S02` 点获取验证码;`S03` 检查提示 - 预期:提示“请输入完整的11位手机号” ### TC-FON-000036 步骤一发送验证码成功(active账号) - 级别:API+E2E - 步骤: - `TC-FON-000036-S01` 调用 `POST /api/auth/recover/password/request/` 提交 active 手机号 - `TC-FON-000036-S02` 校验进入 60 秒倒计时 - `TC-FON-000036-S03` 校验 `sms_otp_records` 写入 `scene=password_reset` 且有效期 10 分钟 - 预期:发送成功并记录正确 ### TC-FON-000037 步骤一防枚举响应(不存在/停用账号) - 级别:API - 步骤:`S01` 分别提交不存在和停用手机号;`S02` 校验响应文案一致;`S03` 校验不泄露账号状态 - 预期:统一提示“如该手机号已注册...” ### TC-FON-000038 找回密码短信发送频控(5次/小时) - 级别:API - 步骤:`S01` 同手机号发送6次;`S02` 校验前5次可用;`S03` 校验第6次超限 - 预期:提示“发送次数过多,请1小时后再试” ### TC-FON-000039 步骤二验证码正确进入步骤三 - 级别:API+E2E - 步骤: - `TC-FON-000039-S01` 调用 `POST /api/auth/recover/password/verify/` 提交正确 6 位验证码 - `TC-FON-000039-S02` 校验颁发 `sms_reset_token`(15 分钟) - `TC-FON-000039-S03` 页面进入步骤三 - 预期:通过校验并进入重置页 ### TC-FON-000040 步骤二验证码错误与5次作废 - 级别:API - 步骤:`S01` 连续输入错误验证码5次;`S02` 检查前4次提示错误;`S03` 第5次后验证码作废 - 预期:提示“验证码已失效,请重新获取” ### TC-FON-000041 步骤二验证码过期 - 级别:API - 步骤:`S01` 使用超时验证码提交;`S02` 校验错误码;`S03` 校验提示文案 - 预期:提示“验证码已过期,请重新获取” ### TC-FON-000042 步骤三token无效或过期 - 级别:API+E2E - 步骤:`S01` 使用无效sms_reset_token访问步骤三;`S02` 校验错误提示;`S03` 跳回步骤一 - 预期:提示“操作已超时,请重新发起找回密码” ### TC-FON-000043 步骤三重置成功后会话失效 - 级别:API - 步骤: - `TC-FON-000043-S01` 调用 `POST /api/auth/recover/password/reset/`(携带有效 `sms_reset_token`)重置密码 - `TC-FON-000043-S02` 校验 `is_initial_password=false` - `TC-FON-000043-S03` 校验该用户历史 session 失效 - 预期:需重新登录 ### TC-FON-000044 重置成功后用新密码登录 - 级别:E2E - 步骤:`S01` 完成找回密码全流程;`S02` 跳回登录页;`S03` 用新密码登录成功 - 预期:登录成功,提示“密码已重置,请使用新密码登录” --- ## E. 验证码登录(Story 5) ### TC-FON-000045 登录方式Tab切换与状态重置 - 级别:E2E - 步骤:`S01` 从密码登录切换到验证码登录;`S02` 检查表单区切换;`S03` 校验原输入与滑块状态清空 - 预期:状态重置正确 ### TC-FON-000046 未完成滑块禁止获取登录验证码 - 级别:E2E - 步骤:`S01` 进入验证码登录Tab;`S02` 直接点获取验证码;`S03` 检查提示 - 预期:提示“请先完成滑块验证” ### TC-FON-000047 登录验证码发送与频控(10次/小时,独立于找回密码) - 级别:API - 步骤:`S01` 发送登录验证码11次(scene=login);`S02` 校验第11次超限;`S03` 校验找回密码scene不受影响 - 预期:login场景10次/小时,scene隔离计数 ### TC-FON-000048 验证码登录成功/失败/锁定限制 - 级别:API+E2E - 步骤: - `TC-FON-000048-S01` 调用 `POST /api/auth/login/phone/`,正确 OTP 登录成功,返回 token 与 `is_initial_password` - `TC-FON-000048-S02` 调用 `POST /api/auth/login/phone/`,错误 OTP 提示“验证码有误”,5 次后作废 - `TC-FON-000048-S03` 账号 locked 时调用 `POST /api/auth/login/phone/` 同样被拒绝 - 预期:三类行为均符合 PRD --- ## 4. 工程实现指引(给测试开发工程师) 1. **目录建议** - `tests/integration/login/test_tc_fon_000001_000048.py` - `tests/e2e/login/test_tc_fon_000001_000048.spec.ts` 2. **命名规范** - 函数名必须带用例ID,例如:`def test_tc_fon_000024_account_lock_after_5_failures():` 3. **步骤日志** - 每步执行前后打印 step_id;断言失败时把 step_id 写入异常消息 4. **报告聚合** - 生成 `reports/login_run_.json` + `reports/login_run_.html` 5. **CI 门禁** - `TC-FON-000001` ~ `TC-FON-000048` 全量通过才允许合并 --- ## 5. 变更规则 - 新增登录用例:从 `TC-FON-000049` 开始递增 - 后续房源/客源模块:继续用同一全局序列,不得重号 - 禁止删除历史用例ID;可标记 `deprecated` 但保留编号与历史报告可追溯性