Utvecklarguide: Testa e-postflöden från början till slut (Registrering, OTP, Återställning, Webhooks)
E-postflöden är produktkritiska och lätta att bryta. En enda felaktig URL, saknad token eller leveransproblem kan skapa registreringsfel eller kontolåsningar. Denna guide ger ett upprepningsbart arbetsflöde för end-to-end-testning.
1) Vad som ska testas (kärnchecklista)
- Mallrendering: skrivbord + mobil; säkerställ att knappar och text är läsbara.
- Länk korrekthet: inga staging-länkar i produktion; ingen blandning av http/https.
- Tokenlogik: utgång fungerar; tokens är engångsbruk när det behövs.
- Policy för återutsändning: hastighetsbegränsningar förhindrar spam och missbruk; användarmeddelanden är tydliga.
- Lokalisering: korrekt språk, datumformat och RTL-stöd om tillämpligt.
2) Använd en ny inkorg per scenario
Delade testinkorgar skapar förvirrande rester. En ny engångsinkorg per testrunda håller resultaten rena.
Skapa en brevlåda: TempMailbox
3) Verifiera användarresan, inte bara e-posten
För varje flöde (registreringsverifiering, OTP, återställning):
- Trigga e-posten från produktens UI eller API.
- Bekräfta leveranstid (mät median och toppfördröjning).
- Öppna och verifiera CTA-mål (frågeparametrar, tokens, omdirigeringsbeteende).
- Bekräfta resultat efter klick (verifieringsflagga satt, session skapad, lämplig framgångssida).
4) Testa kantfall medvetet
- Utgången token (ska misslyckas graciöst)
- Dubbelklick på länken (ska inte bryta tillståndet)
- Återutsänd flera gånger (tvinga cooldown)
- Fel e-post angiven och sedan korrigerad (uppdatera väg)
5) Observabilitet: spåra rätt mätvärden
- Skickandefrekvens
- Studsfrekvens och leverantörsavvisningar
- Verifieringsslutförandefrekvens
- Tidsfördelning till verifiering
6) Säkerhetsgrunder (hoppa inte över)
- Tokens ska vara slumpmässiga, avgränsade och tidsbegränsade.
- Undvik att lägga känsliga användaridentifierare i URL:er.
- Ogiltigförklara tokens efter användning när det är lämpligt.
7) Håll QA etisk och säker
Använd engångsinkorgar för legitim testning och integritetshygien. Använd dem inte för missbruk, bedrägeri eller för att kringgå andra tjänsters regler.
