rails 仅在获取请求中测试通过 CSRF 令牌

Question

我正在尝试对我的控制器进行单元测试，每个使用 get 请求的测试都可以正常工作，但是我使用其他调用的测试（delete 在销毁中，post 在创建中和 put更新中）失败：

WARNING: Can't verify CSRF token authenticity
Completed 401 Unauthorized in 2.5ms

例如这是销毁的测试：

  test "should destroy blog" do
    assert_difference('Blog.count', -1) do
      delete :destroy, id: @blog
    end

    assert_redirected_to blogs_path
  end

这不起作用

这是表演的测试，有效：

  test "should show blog" do
    get :show, id: @blog
    assert_response :success
  end

在销毁测试中，设计authenticate_user! 只是将我重定向到登录页面并且测试失败。

Answer 1

要获得authenticate_user!，您需要包含并使用 Devise 测试助手，如下所示：

https://github.com/plataformatec/devise#test-helpers

class ActionController::TestCase
  include Devise::TestHelpers
end

并在您的测试中使用它们：

  test "should show blog" do
    @user = users(:one) # or FactoryGirl.create(:user), or User.create!(email: 'foo@bar.com')
    sign_in @user
    get :show, id: @blog
    assert_response :success
  end

至于 CSRF Token，您的表单是使用 form_for 还是其他表单构建器构建的？

这些会自动将 CSRF 令牌添加到您的表单有效负载中。如果您使用裸 <form> 标签标记编写表单，则必须自己将其添加到表单中，如下所示：

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

Answer 2

显然在测试环境中禁用CSRF令牌是很正常的事情， 我补充说：

  # Disable request forgery protection in test environment
  config.action_controller.allow_forgery_protection    = false

到我的“/config/environments/test.rb”文件并且当前用户能够通过。