如何在@WebMvcTest 测试中忽略@EnableWebSecurity 注释类

【问题标题】:How to ignore @EnableWebSecurity annotated class in @WebMvcTest tests如何在@WebMvcTest 测试中忽略@EnableWebSecurity 注释类
【发布时间】:2020-04-29 11:29:30
【问题描述】:

在下面的测试类中,我不希望 @EnableWebSecurity 注解的类被 Spring Context 捕获:

@WebMvcTest(controllers = UserController.class)
class UserControllerTest {

    @MockBean
    private UserService userService;

    @Autowired
    private ObjectMapper jsonMapper;

    @Autowired
    private MockMvc mockMvc;

    @Test
    void create_should_return_registered_user_when_request_is_valid() throws Exception {
        // given
        final String EMAIL = "test@test.com";
        final String PASSWORD = "test_password";
        final UserDto userDto = buildDto(EMAIL, PASSWORD);
        final User expectedUser = buildUser(EMAIL, PASSWORD);

        // when
        when(userService.registerUser(userDto)).thenReturn(expectedUser);

        // then
        MvcResult response = mockMvc.perform(post(UserAPI.BASE_URL)
                .contentType(MediaType.APPLICATION_JSON)
                .content(jsonMapper.writeValueAsString(userDto)))
                .andExpect(status().isCreated())
                .andExpect(content().contentType(MediaType.APPLICATION_JSON))
                .andReturn();

        String responseBodyJson = response.getResponse().getContentAsString();
        User responseUser = jsonMapper.readValue(responseBodyJson, User.class);

        assertThat(responseUser, is(equalTo(expectedUser)));
        verify(userService, times(1)).registerUser(userDto);
        verifyNoMoreInteractions(userService);
    }

    @Test
    void create_should_return_conflict_when_request_valid_but_email_in_use() throws Exception {
        // given
        final String EMAIL = "test@test.com";
        final String PASSWORD = "test_password";
        final UserDto userDto = buildDto(EMAIL, PASSWORD);

        // when
        when(userService.registerUser(userDto)).thenThrow(new EmailAlreadyInUseException(EMAIL));

        // then
        mockMvc.perform(post(UserAPI.BASE_URL)
                .contentType(MediaType.APPLICATION_JSON)
                .content(jsonMapper.writeValueAsString(userDto)))
                .andExpect(status().isConflict());

        verify(userService, times(1)).registerUser(userDto);
        verifyNoMoreInteractions(userService);
    }

    @Test
    void create_should_return_bad_request_when_request_has_invalid_email() throws Exception {
        // given
        final String BAD_EMAIL = "test_test.com";
        final String PASSWORD = "test_password";
        final UserDto userDto = buildDto(BAD_EMAIL, PASSWORD);

        // when

        // then
        mockMvc.perform(post(UserAPI.BASE_URL)
                .contentType(MediaType.APPLICATION_JSON)
                .content(jsonMapper.writeValueAsString(userDto)))
                .andExpect(status().isBadRequest());

        verifyNoInteractions(userService);
    }

    @Test
    void create_should_return_bad_request_when_request_has_invalid_password() throws Exception {
        // given
        final String EMAIL = "test@test.com";
        final String BAD_PASSWORD = "";
        final UserDto userDto = buildDto(EMAIL, BAD_PASSWORD);

        // when

        // then
        mockMvc.perform(post(UserAPI.BASE_URL)
                .contentType(MediaType.APPLICATION_JSON)
                .content(jsonMapper.writeValueAsString(userDto)))
                .andExpect(status().isBadRequest());

        verifyNoInteractions(userService);
    }

    @Test
    void create_should_return_bad_request_when_request_is_missing_email() throws Exception {
        // given
        final String PASSWORD = "test_password";
        final UserDto userDto = buildDto(null, PASSWORD);

        // when

        // then
        mockMvc.perform(post(UserAPI.BASE_URL)
                .contentType(MediaType.APPLICATION_JSON)
                .content(jsonMapper.writeValueAsString(userDto)))
                .andExpect(status().isBadRequest());

        verifyNoInteractions(userService);
    }

    @Test
    void create_should_return_bad_request_when_request_is_missing_password() throws Exception {
        // given
        final String EMAIL = "test@test.com";
        final UserDto userDto = buildDto(EMAIL, null);

        // when

        // then
        mockMvc.perform(post(UserAPI.BASE_URL)
                .contentType(MediaType.APPLICATION_JSON)
                .content(jsonMapper.writeValueAsString(userDto)))
                .andExpect(status().isBadRequest());

        verifyNoInteractions(userService);
    }

    private UserDto buildDto(String email, String password) {
        UserDto userDto = new UserDto();
        userDto.setEmail(email);
        userDto.setPassword(password);
        return userDto;
    }

    private User buildUser(String email, String password){
        User user = new User();
        user.setId(1);
        user.setEmail(email);
        user.setPassword(password);
        return user;
    }

}

现在默认加载,因为它的依赖没有加载,所以报错:

com.example.ordersapi.auth.configuration.SecurityConfiguration 中构造函数的参数 0 需要一个无法找到的 'org.springframework.security.core.userdetails.UserDetailsS​​ervice' 类型的 bean。

我见过一些解决方案,例如 @WebMvcTest(controllers = SomeController.class, secure = false),但这些似乎已被弃用。

我正在运行 Spring Boot v2.2.2.RELEASE。

这是安全配置类:

@EnableWebSecurity
@RequiredArgsConstructor
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Value("${spring.h2.console.enabled:false}")
    private boolean h2ConsoleEnabled;

    private final UserDetailsService userDetailsService;
    private final AuthorizationFilter authorizationFilter;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        if (h2ConsoleEnabled) {
            http.authorizeRequests()
                    .antMatchers("/h2-console", "/h2-console/**").permitAll()
                    .and()
                    .headers().frameOptions().sameOrigin();
        }

        http.cors().and().csrf().disable()
                .exceptionHandling()
                .authenticationEntryPoint(unauthorizedHandler())
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers(HttpMethod.POST, AuthenticationAPI.BASE_URL).permitAll()
                .anyRequest().authenticated();

        http.addFilterBefore(authorizationFilter, UsernamePasswordAuthenticationFilter.class);
    }

    private AuthenticationEntryPoint unauthorizedHandler() {
        return (request, response, e) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
    }

    /**
     * We have to create this bean otherwise we can't wire AuthenticationManager in our code.
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

【问题讨论】:

  • 你能分享你的 com.example.ordersapi.auth.configuration.SecurityConfiguration 吗?谢谢
  • 已添加到问题中。谢谢!
  • 您是否创建了自己的UserDetailsService 实现?如果有,请提供。你很接近,没有错过太多。
  • 嗨,我确实尝试过提供它,它也是依赖项,但之后我遇到了另一个问题:spring security is up,显然没有使用我的配置/服务,即使它们被加载到上下文,当我尝试使用 @WithMockService 时,我仍然得到 403 Forbidden 作为响应状态
  • 它应该是……奇怪。请分享它,以便我可以尝试复制...谢谢

标签: java spring spring-boot spring-security spring-test


【解决方案1】:

可以使用@Configuration 和@EnableWebSecurity 属性覆盖安全配置。因为您没有使用@TestConfiguration,所以您可能需要使用@Import 导入类,如下所示。我喜欢这个解决方案,而不是扫描你的主机包中的 bean,因为我觉得你可以更好地控制框架正在加载的内容。

@RunWith(SpringRunner.class)
@WebMvcTest(controllers = MyController.class)
@Import(MyController.class)
public class MyControlleTests {

    @Autowired
    private MockMvc mvc;

    @MockBean
    private SomeDependency someDependencyNeeded;

    @Configuration
    @EnableWebSecurity
    static class SecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception
        {
            http
                    .csrf().disable()
                    .authorizeRequests().anyRequest().anonymous();
        }
    }

    @Test
    public void some_route_returns_ok() throws Exception {

        MockHttpServletRequestBuilder requestBuilder =
                MockMvcRequestBuilders.get("mycontrolleraction");

        mvc
                .perform(requestBuilder)
                .andExpect(MockMvcResultMatchers.status().isOk());

    }
}

请注意,有人可能会争辩说您应该只将安全性作为测试的一部分;但是,我的意见是,您应该尽可能隔离地测试架构的每个组件。

【讨论】:

    【解决方案2】:

    在将 Spring Boot 从 2.1.x 迁移到 2.2.x 后,我也遇到了同样的问题,即 401 代码。此后,secure 字段从@WebMvcTest 注释中移除。

    我通过添加忽略过滤器(包括身份验证过滤器)的注释来修复:

    @WebMvcTest(value = SomeResource.class)
@AutoConfigureMockMvc(addFilters = false)
class SomeTest  {
}

    【讨论】:

      【解决方案3】:

      我找到的最简单的解决方案是在您的 SecurityConfiguration 类中添加 @Profile(!test)。这应该完全防止在测试期间加载类。 默认情况下,测试使用测试配置文件运行,如果您要覆盖您可能必须放入您正在使用的配置文件。 (日志显示上下文启动时哪个配置文件处于活动状态)。 有关个人资料的更多信息:https://www.baeldung.com/spring-profiles

      您也可以使用@WithMockUser(roles = "MANAGER")。有关更多信息,请参阅此问题:Spring Test & Security: How to mock authentication?

      【讨论】:

      • 嗨!感谢您的回答我还尝试为我的配置和所有其他安全 bean 提供另一个配置文件,它解决了当前的问题,但即使仍然会设置网络安全(使用默认值),当我尝试使用 @WithMockUser 我仍然得到 403 Forbbiden
      • MvcResult response = mockMvc.perform(post(UserAPI.BASE_URL).with(csrf())... 让它通过。这很糟糕,因为我不希望安全问题污染这些测试套房
      • 仅供参考,解决方案在这里:stackoverflow.com/questions/59776298/…
      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-05-05
      • 1970-01-01
      • 2016-03-08
      • 1970-01-01
      • 1970-01-01
      • 2018-10-04
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode