测试访问控制

Question

我正在为公用事业行业的一个系统编写访问控制测试。根据用户的角色(基于角色的访问控制)访问系统的组件。角色有两层--顶层是组织层面。即访问系统的用户是否来自供应电力、煤气的组织，还是维修公司等。第二层访问控制检查用户的作业角色，例如，用户是否是呼叫中心用户、工程师、客户服务代理等。后一级别的访问控制由组织中的超级用户设置。访问被控制在系统中的大约15个子组件上，其中一些可以被特定的用户访问，而有些则不能。其中一些组件还相互链接。

另外，用户可以是多个组织(例如煤气公司和电力公司)的成员，并且可以在该组织内有多个工作(呼叫中心代理和服务经理)。有了所有这些，权限将被累计设置。

我正在编写测试，但我在设计测试时并不具有战略性，这可能意味着我有太多的报道(复制)，或者不够。

在各种不同排列的情况下，为这个系统设计测试的最佳方法是什么？

Answer 1

我不知道你是否是自动化测试的专家。如果您是，那么您可以为每个角色创建自动化脚本，并且可以指定diff。逻辑上，如果角色是呼叫中心执行人员，那么指定的东西应该是可访问的。所以你可以为每一个角色做到这一点。

为什么我告诉您使用自动化，因为假设在未来，如果您添加新的角色与diff。访问权限，那么您就必须测试这个新角色以及已经创建的角色。作为一个测试人员，您必须检查回归，如果您添加了新角色，那么已经创建的角色/访问应该也不会干扰。因此，在这种情况下，自动化将很快完成回归测试的工作。

如果您想通过手动测试，那么您可以为每个角色和访问创建测试用例。如果角色是管理器，那么它应该允许访问这些菜单、这些项等等，然后您可以手动运行所有测试用例。

因此，在从开始到结束的整个测试流程中，您的重点必须是基于角色的访问。

Answer 2

您可以在电子表格中设计测试并填写所有组合。寻找并删除多余的案例。您可以通过使用列进行用户/pass登录，然后尝试访问某些页面，并使用该矩阵断言是否授予访问权限，从而将此矩阵不关联到您的自动化中。您的自动化将是轻量级的，它的所有数据都依赖于电子表格。这使您不必为每一种情况编写测试。

Answer 3

如果你(即管理层)愿意承担一些风险，你可以使用N明智的测试。

但是无论如何，一切都应该从你对正在测试的东西有了清晰的理解开始。为此，您应该组织起来，并能够跟踪一切，一个简单的例子是使用表交叉特性和测试用例(Excel非常擅长这一点)。