不要在测试中验证 JWT 过期

【问题标题】:Do not validate JWT expiration in tests不要在测试中验证 JWT 过期
【发布时间】:2021-12-17 22:10:38
【问题描述】:

我正在使用 JWT 身份验证为我的 Web 服务编写集成测试。我想用从真实服务收到的令牌对其进行测试。问题是真正的令牌会在 1 小时后过期。

一种可能的方法是在下面的Startup 类的AddJwtBearer 中设置options.TokenValidationParameters.ValidateLifetime。 不过Startup类也是一个待测试的代码,所以我不想更改或替换它进行测试。

有没有一种简洁的方法来测试除过期之外的所有 JWT 验证逻辑?

我的项目代码:

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers();
        services.AddAuthentication("JWT")
            .AddJwtBearer("JWT", options =>
            {
                options.Authority = "https://my-real-identity-server.com/";
                options.Audience = "...";
                // I don't want to disable lifetime validation in real life
                // options.TokenValidationParameters.ValidateLifetime = false;
            });
        
        // Other stuff
    }

    public void Configure(IApplicationBuilder app) => app
        .UseRouting()
        .UseAuthentication()
        .UseAuthorization()
        .UseEndpoints(endpoints => endpoints.MapControllers());
}

public class TestController : ControllerBase
{
    [Authorize]
    [HttpGet("/validate")]
    public string Get() => "success";
}

我的测试代码:

public class HostBuilderTests
{
    private IHost testHost;
    private CancellationTokenSource cancel;
    private HttpClient client;

    [SetUp]
    public async Task ShouldReturnStatus()
    {
        testHost = Host.CreateDefaultBuilder()
            .ConfigureWebHostDefaults(webBuilder =>
                webBuilder
                    .UseStartup<Startup>()
                    .UseTestServer())
            .ConfigureServices(services => services
                .AddLogging(b => b.ClearProviders().AddNUnit()))
            .Build();

        cancel = new CancellationTokenSource(10000);

        var server = testHost.Services.GetRequiredService<IServer>()
            .ShouldBeOfType<TestServer>();
        await testHost.StartAsync(cancel.Token);
        client = server.CreateClient();
    }

    [TearDown]
    public async Task TearDown()
    {
        await testHost.StopAsync(cancel.Token);

        client.Dispose();
        testHost.Dispose();
        cancel.Dispose();
    }

    [Test]
    [TestCase("<<JWT token copied from the real service>>")]
    public async Task StatusShouldBeOk(string realToken)
    {
        client.DefaultRequestHeaders.Authorization =
            new AuthenticationHeaderValue("Bearer", realToken);

        using var response = await client.GetAsync("/validate", cancel.Token);
        response.StatusCode.ShouldBe(HttpStatusCode.OK);
    }
}

【问题讨论】:

  • AddJwtBearer lambda 中有很多不同的“验证...”属性。您已经为权威和观众设置了两个。其中一个是在谈论“终身”还是“到期”?例如:stackoverflow.com/a/59014327/1043380
  • @gunr2171 好点,看看我的编辑。
  • 您是在 AddJwtBearer 中对所有选项进行硬编码,还是通过配置设置它们(您应该这样做)?
  • @gunr2171 是的,我愿意。所以解决方案是为测试项目使用不同的应用配置,太好了!
  • 我会警惕这样做 - 如果您进行不同的配置,您可能会引入安全错误。

标签: c# asp.net-core authentication jwt nunit


【解决方案1】:

最后我找到了一种管理身份验证处理程序选项的简单方法:

身份验证方案是一个名称,对应于:

  • 身份验证处理程序。
  • 用于配置特定处理程序实例的选项。

MSDN

因此,在测试设置中指定身份验证方案名称 "JWT" 作为选项实例名称后配置 JwtBearerOptions 就足够了:

testHost = Host.CreateDefaultBuilder()
    // other setup
    .ConfigureServices(services => services
        .PostConfigure<JwtBearerOptions>("JWT", 
            op => op.TokenValidationParameters.ValidateLifetime = false)
        // other setup
    ).Build();

也可以传递null 而不是"JWT",因为它写在comments

// Null name is used to configure all named options.

【讨论】:

    猜你喜欢
    • 2020-10-17
    • 2016-07-21
    • 1970-01-01
    • 1970-01-01
    • 2018-07-13
    • 2019-12-28
    • 2019-12-05
    • 2020-07-25
    • 2015-06-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode