PrepBro
← Назад к вопросам

Можно ли прописать логин и пароль в тест кейсах на авторизацию?

1.8 Middle🔥 131 комментариев
#Теория тестирования

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Можно ли хранить логин и пароль напрямую в тест-кейсах на авторизацию?

Категорический ответ: нет, этого следует избегать. Прямое внесение учетных данных в тест-кейсы считается плохой практикой в автоматизированном тестировании, нарушающей ключевые принципы безопасности, сопровождаемости и надежности тестов. Давайте разберем почему и как это правильно делать.

Основные риски и недостатки прямого хранения учетных данных

  • Угроза безопасности: Это самый серьезный риск. Тест-кейсы часто хранятся в системах контроля версий (Git, SVN), доступ к которым могут иметь многие разработчики, тестировщики и даже внешние подрядчики. Логин и пароль в открытом виде попадают в историю коммитов, становясь уязвимостью.
  • Невозможность маскирования данных: В логах выполнения тестов, отчетах Allure/ExtentReports или выводах CI/CD (Jenkins, GitLab CI) чувствительные данные будут отображаться открыто.
  • Сложность управления: При смене пароля (по политике безопасности или из-за утечки) придется вручную находить и обновлять все тест-кейсы, где он используется. Это трудоемко и чревато ошибками.
  • Отсутствие гибкости: Невозможно легко запускать тесты в разных окружениях (dev, staging, prod), где используются разные учетные записи, без переписывания кода.
  • Нарушение принципа DRY (Don't Repeat Yourself): Учетные данные, размазанные по множеству тестов, дублируются, что усложняет поддержку.

Правильные подходы к управлению учетными данными в автотестах

Ключевая идея — отделить тестовую логику от конфиденциальных данных и управлять последними через безопасные механизмы.

1. Использование переменных окружения (Environment Variables)

Самый распространенный и безопасный способ для CI/CD. Данные не хранятся в коде, а задаются в настройках запуска.

// Пример на Java
String username = System.getenv("API_USERNAME");
String password = System.getenv("API_PASSWORD");

// Если переменные не заданы, можно использовать значения по умолчанию (только для non-prod!)
if (username == null) username = "test_user";

В Jenkins/GitLab CI эти переменные задаются в защищенных настройках пайплайна.

2. Конфигурационные файлы с исключением из репозитория

Данные хранятся в отдельном файле (например, config.properties или secrets.json), который добавляется в .gitignore, чтобы не попадать в систему контроля версий.

# config.properties (ШАБЛОН, который добавляется в репозиторий)
username=${USERNAME}
password=${PASSWORD}

# Локальный файл config-local.properties (в .gitignore) с реальными значениями
username=real_test_user
password=superSecretPass123

// Чтение конфигурации
Properties props = new Properties();
props.load(new FileInputStream("config-local.properties"));
String user = props.getProperty("username");

3. Специализированные менеджеры секретов (Secrets Management)

Профессиональный подход для корпоративных проектов. Секреты хранятся в специализированных защищенных хранилищах:

  • HashiCorp Vault
  • AWS Secrets Manager / Parameter Store
  • Azure Key Vault
  • Google Cloud Secret Manager Автотесты или CI/CD система запрашивают секреты из этих хранилищ по мере необходимости с использованием безопасной аутентификации.

4. Использование зашифрованных данных

Данные могут храниться в зашифрованном виде, а в коде/конфигурации CI/CD хранится только ключ для расшифровки. Однако этот метод сложнее в настройке и поддержке.

5. Предусмотренные тестовые учетные записи с изолированным доступом

Для тестового окружения создаются специальные учетные записи с ограниченными правами, доступными только для тестовой системы. Их параметры (client_id, client_secret для OAuth или простой login/pass) управляются способами, описанными выше. Пароли для таких аккаунтов обычно длинные, случайные и не меняются часто.

Структура тест-кейса: лучшая практика

Вместо хардкода, тест-кейс должен получать данные из безопасного источника.

public class LoginTest {
    private Config config; // Объект, читающий конфиг/секреты

    @BeforeAll
    public static void setUp() {
        config = ConfigLoader.load(); // Загружаем конфигурацию
    }

    @Test
    public void successfulLoginWithValidCredentials() {
        // Получаем учетные данные из защищенного источника
        String username = config.getUsername();
        String password = config.getPassword();

        LoginPage loginPage = new LoginPage(driver);
        loginPage.enterCredentials(username, password);
        loginPage.clickSubmit();

        Assertions.assertTrue(loginPage.isUserLoggedIn());
    }
}

Исключения и нюансы

  1. Демо-проекты и публичные репозитории: Если код должен запускаться "из коробки", иногда используют учетные данные от специально созданных, изолированных тестовых аккаунтов с минимальными правами. Пароль все равно не должен быть ценным (например, TestUser123!). Предпочтительнее предоставить инструкцию по настройке переменных окружения.
  2. Тестовые данные для негативных сценариев: Логины типа "wrongUser" и пароли "wrongPassword" можно хардкодить, так как они не представляют ценности и являются частью тестовой логики.

Вывод: Прямое прописывание реальных логинов и паролей в теле тест-кейса — это антипаттерн. Современная практика требует использования переменных окружения, конфигурационных файлов, исключенных из VCS, или менеджеров секретов. Это обеспечивает безопасность, централизованное управление и повышает надежность и сопровождаемость вашего набора автотестов.