SpringSecurity 测试实战
引言
试题管理系统的安全模块使用Spring Security,代码从原华软仓库移植,在移植的过程中,发现原测试编写的不好,遂在新系统中对安全模块测试进行了重构。
Spring 测试
添加@SpringBootTest注解,意为这是一个基于SpringBoot的单元测试。
SpringBoot在官方的Guide中提供了多种测试方式。
@SpringBootTest注解中的webEnvironment属性可以配置测试环境,默认为MOCK环境。
/**
* The type of web environment to create when applicable. Defaults to
* {@link WebEnvironment#MOCK}.
* @return the type of web environment
*/
WebEnvironment webEnvironment() default WebEnvironment.MOCK;
模拟环境测试
启用Spring Security后,单元测试中对api的测试会被Spring Security的Filter进行拦截,所以测试之前需要进行用户登录操作。
之前都是使用比较笨重的方法,写一个@Before,@Before里进行登录,之后再执行测试方法。
最近在阅读Spring Security Test文档之后,终于找到一种模拟登录十分简便的方法,@WithMockUser。
test method with mock user - spring security test
引入Spring Security Test依赖:
<!-- Spring Security Test --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency>
示例代码如下:
@SpringBootTest
@RunWith(SpringRunner.class)
@AutoConfigureMockMvc
@WithMockUser(username = "admin", password = "admin")
public class ControllerTest {
@Autowired
protected MockMvc mockMvc;
@Test
void contextLoads() {
}
}
注:@RunWith(SpringRunner.class)表示当前测试使用org.springframework.test.context.junit4.SpringRunner类来执行,最新的SpringBoot版本中已经全面启用junit5,不推荐使用junit4.SpringRunner,因为未经过内部学习与测试,未在生产项目中使用。
真实环境测试
为了减少学习与沟通的成本,之前,所有的测试规定都在MOCK环境下,使用MockMVC进行api测试。
虽然MOCK环境能解决大部分的问题,并且可以在不启动Server的情况下直接进行测试,但在某些场景下,仍需要真实环境下的HTTP服务与请求测试。
启用Spring Security后,MockMVC是直接测试控制器,并非在真实的HTTP服务器下进行测试,MOCK环境中使用的是MockHttpSession,这不是标准的Session实现,没有加入对COOKIE的支持,所以在测试安全模块时,无法像浏览器一样测试COOKIE等认证信息。
spring mockmvc doesn't contain cookies - stackoverflow
去StackOverflow上也没有解决方案,答案推荐使用TestRestTemplate+真实的服务器环境进行单元测试。
将webEnvironment配置为SpringBootTest.WebEnvironment.RANDOM_PORT,即表示当前测试在一个随机端口的真实Web环境下运行。
@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
class AuthControllerTest {
@Autowired
private TestRestTemplate restTemplate;
}
测试时使用TestRestTemplate进行网络请求的发送,真实模拟Web服务器环境。
示例代码如下:
logger.debug("3: 测试用户名密码正确");
username = RIGHT_USERNAME;
password = RIGHT_PASSWORD;
response = this.restTemplate
.withBasicAuth(username, password)
.getForEntity(CONFIG_LOGIN, Void.class);
logger.debug("断言: 状态码为200");
assertThat(response.getStatusCode().value()).isEqualTo(HttpStatus.OK.value());
logger.debug("获取 response 的 Set-Cookie 信息,并断言");
String setCookie = response.getHeaders().getFirst(HttpHeaders.SET_COOKIE);
assertThat(setCookie).isNotNull();
总结
两个各有优点,之前我们一直使用简单方便的Mock环境进行测试,但当我们有一天,发现这个Mock环境测试下的MockHttpSession无法满足需求的时候,我们开始探索其他的测试方案。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持小牛知识库。
-
主要内容:1.入门,2.设置用户名和密码1.入门 1.启动一个SpringBoot项目 2.导入SpringSecurity相关依赖 3.编写Controller TestController.java 用户是user 密码是刚刚的 2.设置用户名和密码 1.在配置文件中设置 2.在配置类中设置 3.自定义实现类 2.1 配置文件中设置 2.2 在配置类中设置 设置用户名为zZZ,密码为root 2.3 自定义实现类 配置类: 业务类:
-
自我介绍 项目介绍和担当职位 开发经验有无? 为什么选择测试 如何测试文字中是否含有手机号(没答上) 举例http响应状态码和功能 linux常用十个指令 vi编辑器有何指令 微信红包用例 数据库的查看和修改 查看任务进程 python的学习程度 都是根据简历写的问的 面试官挺nice #我的实习日记#
-
问题内容: 我已Spring Boot启用基本身份验证的应用程序。从数据库消耗。为了进行单元测试,我想对其进行模拟,以便从其他地方使用数据。 我该怎么做? 我的问题不是如何模拟自身,而是如何模拟使用它来通过基本身份验证测试Controller的方式。 以下是我的SpringSecurity配置: 总之,我怎么能嘲笑UserServiceDetails到SpringSecurity配置,所以我能单元
-
在WAR的情况下,它试图将请求转发到/error页面,并寻找它的处理程序方法(请参见底部的日志)。 最后我得到以下回应: 我该换什么才能得到401?
-
1.导入jar包 web.xml spring-security.xml
-
第一家创业型公司(几百人) 面备选实习生?(一面) 1. 微信聊天界面测试 2.数据库语句,查询去重 第二家国内某北斗(一面) 0.如何进行一个页面测试 1.购物查询怎么测 2.开发不认bug 3.测试条件模糊怎么办 4.与其他竞争者有什么优势 5.接口测试会不会 反问 1.大概什么时候收到面试结果 2.主要是自动化测试还是功能测试 3.还有什么能提升的地方(答:接口测试) #实习生应该准时下班吗