SpringSecurity 測(cè)試實(shí)戰(zhàn)

更新時(shí)間：2019年11月27日 09:12:23 作者：張喜碩

這篇文章主要介紹了SpringSecurity 測(cè)試實(shí)戰(zhàn)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

引言

試題管理系統(tǒng)的安全模塊使用Spring Security，代碼從原華軟倉(cāng)庫(kù)移植，在移植的過(guò)程中，發(fā)現(xiàn)原測(cè)試編寫(xiě)的不好，遂在新系統(tǒng)中對(duì)安全模塊測(cè)試進(jìn)行了重構(gòu)。

Spring 測(cè)試

添加@SpringBootTest注解，意為這是一個(gè)基于SpringBoot的單元測(cè)試。

SpringBoot在官方的Guide中提供了多種測(cè)試方式。

@SpringBootTest注解中的webEnvironment屬性可以配置測(cè)試環(huán)境，默認(rèn)為MOCK環(huán)境。

/**
 * The type of web environment to create when applicable. Defaults to
 * {@link WebEnvironment#MOCK}.
 * @return the type of web environment
 */
WebEnvironment webEnvironment() default WebEnvironment.MOCK;

模擬環(huán)境測(cè)試

啟用Spring Security后，單元測(cè)試中對(duì)api的測(cè)試會(huì)被Spring Security的Filter進(jìn)行攔截，所以測(cè)試之前需要進(jìn)行用戶登錄操作。

之前都是使用比較笨重的方法，寫(xiě)一個(gè)@Before，@Before里進(jìn)行登錄，之后再執(zhí)行測(cè)試方法。

最近在閱讀Spring Security Test文檔之后，終于找到一種模擬登錄十分簡(jiǎn)便的方法，@WithMockUser。

test method with mock user - spring security test

引入Spring Security Test依賴：

<!-- Spring Security Test -->
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-test</artifactId>
  <scope>test</scope>
</dependency>

示例代碼如下：

@SpringBootTest
@RunWith(SpringRunner.class)
@AutoConfigureMockMvc
@WithMockUser(username = "admin", password = "admin")
public class ControllerTest {

  @Autowired
  protected MockMvc mockMvc;

  @Test
  void contextLoads() {
  }
}

注：@RunWith(SpringRunner.class)表示當(dāng)前測(cè)試使用org.springframework.test.context.junit4.SpringRunner類來(lái)執(zhí)行，最新的SpringBoot版本中已經(jīng)全面啟用junit5，不推薦使用junit4.SpringRunner，因?yàn)槲唇?jīng)過(guò)內(nèi)部學(xué)習(xí)與測(cè)試，未在生產(chǎn)項(xiàng)目中使用。

真實(shí)環(huán)境測(cè)試

為了減少學(xué)習(xí)與溝通的成本，之前，所有的測(cè)試規(guī)定都在MOCK環(huán)境下，使用MockMVC進(jìn)行api測(cè)試。

雖然MOCK環(huán)境能解決大部分的問(wèn)題，并且可以在不啟動(dòng)Server的情況下直接進(jìn)行測(cè)試，但在某些場(chǎng)景下，仍需要真實(shí)環(huán)境下的HTTP服務(wù)與請(qǐng)求測(cè)試。

啟用Spring Security后，MockMVC是直接測(cè)試控制器，并非在真實(shí)的HTTP服務(wù)器下進(jìn)行測(cè)試，MOCK環(huán)境中使用的是MockHttpSession，這不是標(biāo)準(zhǔn)的Session實(shí)現(xiàn)，沒(méi)有加入對(duì)COOKIE的支持，所以在測(cè)試安全模塊時(shí)，無(wú)法像瀏覽器一樣測(cè)試COOKIE等認(rèn)證信息。

spring mockmvc doesn't contain cookies - stackoverflow

去StackOverflow上也沒(méi)有解決方案，答案推薦使用TestRestTemplate+真實(shí)的服務(wù)器環(huán)境進(jìn)行單元測(cè)試。

將webEnvironment配置為SpringBootTest.WebEnvironment.RANDOM_PORT，即表示當(dāng)前測(cè)試在一個(gè)隨機(jī)端口的真實(shí)Web環(huán)境下運(yùn)行。

@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
class AuthControllerTest {
  @Autowired
  private TestRestTemplate restTemplate;
}

測(cè)試時(shí)使用TestRestTemplate進(jìn)行網(wǎng)絡(luò)請(qǐng)求的發(fā)送，真實(shí)模擬Web服務(wù)器環(huán)境。

示例代碼如下：

logger.debug("3: 測(cè)試用戶名密碼正確");
username = RIGHT_USERNAME;
password = RIGHT_PASSWORD;
response = this.restTemplate
    .withBasicAuth(username, password)
    .getForEntity(CONFIG_LOGIN, Void.class);

logger.debug("斷言: 狀態(tài)碼為200");
assertThat(response.getStatusCode().value()).isEqualTo(HttpStatus.OK.value());

logger.debug("獲取 response 的 Set-Cookie 信息，并斷言");
String setCookie = response.getHeaders().getFirst(HttpHeaders.SET_COOKIE);
assertThat(setCookie).isNotNull();

總結(jié)

兩個(gè)各有優(yōu)點(diǎn)，之前我們一直使用簡(jiǎn)單方便的Mock環(huán)境進(jìn)行測(cè)試，但當(dāng)我們有一天，發(fā)現(xiàn)這個(gè)Mock環(huán)境測(cè)試下的MockHttpSession無(wú)法滿足需求的時(shí)候，我們開(kāi)始探索其他的測(cè)試方案。

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: