Kiểm thử phân quyền theo hệ thống CRM thực hiện như thế nào?

[hoccachhoc]

I> Khái niệm:
Kiểm thử phân quyền (CRM) (Decentralized testing) là việc kiểm tra xem tất cả người dùng trong hệ thống phần mềm hoạt động đúng như mong đợi hay không? Bao gồm việc kiểm tra về quyền truy cập, quyền thao tác và quyền dữ liệu.
1. Khâu chuẩn bị:
Để làm tốt việc kiểm thử phân quyền, Tester cần chuẩn bị:
– Danh sách người dùng (Họ và tên, Chức danh, Phòng ban, Email, ĐT, Vai trò-Nhiệm vụ)
– Mô hình tổ chức (ví dụ như bên dưới):
Ví dụ mô hình tổ chức của một trường THPT quy mô lớn như:
Hiệu trưởng, phó hiệu trưởng (Quyền hiệu trưởng, Nhóm hiệu trưởng)--> Trưởng phòng ban (gồm 4): Trưởng ban tự nhiên, Trưởng ban xã hội, Trưởng ban đoàn thể (Quyền trưởng ban, Nhóm trưởng ban)-->Trưởng bộ môn (Trưởng bộ môn toán,...)-->Giáo viên-->Học sinh
Lưu ý: không áp dụng cho bảo vệ và tạp vụ -->họ nhận thông báo từ giấy tờ hoặc bảng tin mà thôi.
2. Tiến hành phân quyền:
a. Tạo quyền (phân quyền)
Tạo ra các quyền tương ứng theo mô hình tổ chức. Ví dụ: Quyền Hiệu trưởng, Quyền Trưởng phòng ban, Quyền trưởng bộ môn…

b. Tạo nhóm
Tạo ra các nhóm người dùng theo mô hình tổ chức, ví dụ: Nhóm Hiệu trưởng chứa các người dùng có quyền Hiệu trưởng,....

c. Gán quyền cho nhóm hoặc người dùng
Quyền tạo ra xong phải gán trực tiếp vào 1 nhóm hoặc 1 người dùng cụ thể.

Tạo Quyền (Role) theo các bước chính sau:
(1) Phân quyền truy cập –> (2) Phân quyền thao tác –> (3) Phân quyền dữ liệu.

Trong đó:
– Phân quyền truy cập: ai được truy cập modules nào?
– Phân quyền thao tác: ai được thao tác gì? (trên modules đã được phân quyền truy cập). Các quyền thao tác bao gồm: Edit, Delete, Import, Export, Mass Update, List, View
– Phân quyền dữ liệu: ai được thấy dữ liệu của tôi? (trên các module đã được phân quyền truy cập). Chỉ tôi được thấy dữ liệu của tôi (Owner) hay ai được thấy nữa (nhân viên cùng phòng xem được: quyền Group, hay sếp cũng xem được (Quyền All))?

Lưu ý: Nếu người dùng không được phân quyền truy cập thì các quyền tiếp sau sẽ không có giá trị.

II> Tiến hành kiểm thử phân quyền:
Ở ví dụ trên: Quyền hiệu trưởng là quyền cao nhất, ông ta có thể truy cập bất cứ Module nào? thao tác bất cứ Modules nào? và thấy được dữ liệu của bất cứ Module nào? Như vậy sau khi Admin tạo ra quyền và nhóm quyền rồi phân quyền cho từng người dùng. Thì việc kiểm tra quyền hiệu trưởng hoạt động đúng như mong đợi hay không? thì chúng ta đăng ký acc hiệu trưởng-->đăng nhập-->tiến hành kiểm tra truy cập từng Module được hay không? thao tác trên Module có được hay không? Xem dữ liệu trên Module đó được hay không? Tương tự, cho các quyền khác theo đặc tả yêu cầu về phân quyền.

Đây là ý kiến cá nhân của mình. Các bạn ở diễn đàn góp ý thêm cho mình với nhé!

[tvn]

Ít nhất mỗi quyền phải test 1 case đúng. Vi dụ, admin, user bình thường, ai có thể thấy gì làm gì, mình phải bảo đảm từng case happy path đó phải đúng. Rồi tính tiếp.