首先是账密登录的手机号支持，先了解下手机号登录的通用流程图： 
 

一、输入手机号

       1．通用运营商覆盖。

       国内主流的三大运营商，移动、联通和电信号段。

       如果APP有海外版，那么要考虑海外的电话号码格式和运营商号段。

       2．虚拟号段。

       通常情况下测试人员都会考虑到不同运营商的手机号，但是会容易漏掉虚拟号段170和171，而170和171因为是虚拟号段，并无实名制，所以大肆被不法份子所利用的号段，更是容易被一些恶意用户用来薅羊毛。

       3．新开放的号段。

       随着政策变化，国家会时不时开放一些新号段，比如近期开通的联通166，移动198和电信199，也是测试人员容易忽略掉的。
 

二、输入验证码

       短信验证码一般的原理是，前端APP通过短信接口提交一个请求，向服务端提供一个Token参数，服务端对这个Token参数进行校验，校验通过之后，再通过该接口向用户手机发送短信。

       1．验证码时间限制

       通常验证码有两个时间限制，一个是触发发送的时间，可以有效的避免对单用户的短信轰炸。通常的表现形式是，在界面上，一旦触发短信发送后，会设定一个一定时间的倒数，可以是60s，也可以是120s，以此来控制用户无法重复多次提交发送短信验证码的请求。

        另一个是接收后的验证码有效时间限制。超过限制时间，校验时会提示该验证码已失效，需要重新获取。

        2．验证码次数限制

       对于连续获取验证码但不进行校验的手机号，应该要有防刷机制，系统可对该手机号进行保护。达到设定次数时提示超过上限，无法再次触发给该手机号发送验证码。

       对使用同一个手机号在一天内获取验证码，也一般会有个最大值的限制。

       3．验证码的内容

       验证码的内容，一般是跟随验证码触发的场景的，比如注册验证码、交易验证码。另外验证码内容务必要包含品牌的标识，让用户一眼感知到这个验证码是来自什么APP，或者什么公司的。

       不管是账密登录，还是手势录，安全都是接口测试和功能测试的重点，也是容易被很多测试人员所容易漏关注的。
 

三、安全的测试

       1．登录时效。

       登录成功之后的cookie是多久，会否超时自动下线等等。

       2．登录冲突。

       多个设备同时登录一个账户的处理机制。另外跨平台是否支持同一账户同时登录等等。

       3．登录异常。

       跨地域，非常见IP所在地登录的风险控制机制。长时间未登录，突然登录的检测机制等等。

       4．密文传输。

       会否对账户密码进行加密传输，日志脱敏等等。