🔔Тестируем форму входа/регистрации по email и паролю🔒Важные сцены безопасности🔘Лимит неверных попыток входа — блокировка после 3-5 неверных паролей
🔘Ошибка блокировки: «Слишком много неверных попыток. Попробуйте через X минут»
🔘Проверка на временные и одноразовые email-адреса при регистрации
📩Поведение при регистрации🟠Регистрация на уже существующий email → ошибка «Этот email уже зарегистрирован»
🟠Регистрация ранее существующим пользователем → письмо для входа
🟠Регистрация сразу после удаления аккаунта → письмо для регистрации
🟠Поле подтверждения пароля — совпадают ли пароли
Что проверяем?
➡️Вход с правильным email и паролем → успешная авторизация
➡️Вход с правильным email, но неверным паролем → ошибка «Неверный email или пароль»
➡️Не заполнено поле email → «Обязательное для заполнения»
➡️Регистрация на существующий email → «Этот email уже зарегистрирован. Войти?»
➡️После блокировки таймер разблокировки работает корректно
➡️Регистрация с валидными данными → успех
➡️Пароль скрывается , нажатием на глаз
👁️ 🔐 Валидация пароля:
🟠Минимальная длина (8+ символов) → «Пароль должен содержать минимум 8 символов»
🟠Максимальная длина (45 символов) → «Пароль не должен превышать 45 символов»
🟠Отсутствие заглавных букв → «Добавьте заглавные буквы»
🟠Отсутствие строчных букв → «Добавьте строчные буквы»
🟠Отсутствие цифр → «Добавьте цифры»
🟠Отсутствие спецсимволов → «Добавьте специальные символы (!@#$% и т.д.)»
🟠Пароль слишком простой (123456, password) → «Пароль слишком простой»
🟠Пароли не совпадают → «Пароли не совпадают»
🟠Пробелы в начале/конце пароля → обрезка или ошибка
🟠Эмодзи и unicode-символы в пароле → поддержка или блокировка
⚠️Валидация email:
🟠Неверный формат → «Неверная почта»
🟠Русские символы → «Неверная почта»
🟠Спецсимволы (кроме @, ., -) → «Неверная почта»
🟠Отсутствует @ → «Неверная почта»
🔐 Восстановление пароля:
🟠Ссылка «Забыли пароль?» ведет на форму восстановления
🟠Ввод email → письмо со ссылкой для сброса пароля
🟠Старый пароль перестает работать после сброса
🟠После сброса пароля все активные сессии завершаются
💡Что часто ломается:🔘Валидация пароля на фронте и бэке отличается
🔘Пароль длиной более 45 символов принимается системой
🔘Можно использовать слишком простые пароли
🔘Нет ограничения на неверные попытки ввода пароля
🔘После сброса пароля старые сессии остаются активными
✉️Проблемы с email:➡️Система блокирует email после удаления аккаунта
➡️Ошибка "Email уже занят" даже после удаления
➡️Кэширование данных — система использует закэшированные данные
Важное замечание
Этот список не является исчерпывающим! На реальных проектах требования и поведение системы могут значительно отличаться. Всегда отталкивайтесь от:
· Конкретных бизнес-требований
· Ограничений легаси-систем
· Реальных возможностей команды
· Сроков релиза
💬Пишите в комментариях:- Какие самые неочевидные баги находили в формах авторизации?
- Какие лимиты попыток входа используете в своих проектах?
- Какие самые креативные способы обхода защиты видели?
- Чем дополнить список для проверки?
#знания 