如何在 MockMvc 测试期间使用正确的 Spring Security 配置

【问题标题】:How to use the right Spring Security configuration during a MockMvc test如何在 MockMvc 测试期间使用正确的 Spring Security 配置
【发布时间】:2018-07-04 17:33:55
【问题描述】:

我正在尝试测试我的@RestController 之一的访问权限,该@RestController 由自定义Spring Security 配置保护。我的用例如下:HTTP GET/someEndpoint 受到身份验证的保护,但对同一端点的 HTTP POST 请求不受保护。当我启动应用程序并使用我的前端或 Postman 对其进行测试时,它工作正常。

现在我正在尝试使用带有安全配置的MockMvc 编写测试。我已经在 StackOverflow 上通过了很多答案,但没有任何帮助。

我的测试设置如下所示:

@RunWith(SpringRunner.class)
@WebMvcTest(controllers = MyController.class)
@WebAppConfiguration
@ContextConfiguration
public class AssessmentControllerTest {

    private MockMvc mockMvc;

    @Autowired
    private WebApplicationContext webApplicationContext;

    @Before
    public void init() throws Exception {
        this.mockMvc = MockMvcBuilders.webAppContextSetup(webApplicationContext)
                .alwaysDo(print())
                .apply(SecurityMockMvcConfigurers.springSecurity())
                .build();
    }

    // some test methods

}

通过此设置,我的所有端点都受到保护,甚至 HTTP POST 也会返回 401 而不是 201。我还为安全启用了调试日志,在调试日志中它说测试使用了default configure(HttpSecurity),但我在日志中找不到任何 AntMatchers:

2018-07-04 19:20:02.829 DEBUG 2237 --- [           main] s.s.c.a.w.c.WebSecurityConfigurerAdapter : Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).
2018-07-04 19:20:03.097 DEBUG 2237 --- [           main] edFilterInvocationSecurityMetadataSource : Adding web access control expression 'authenticated', for org.springframework.security.web.util.matcher.AnyRequestMatcher@1
2018-07-04 19:20:03.127 DEBUG 2237 --- [           main] o.s.s.w.a.i.FilterSecurityInterceptor    : Validated configuration attributes
2018-07-04 19:20:03.130 DEBUG 2237 --- [           main] o.s.s.w.a.i.FilterSecurityInterceptor    : Validated configuration attributes
2018-07-04 19:20:03.161  INFO 2237 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: org.springframework.security.web.util.matcher.AnyRequestMatcher@1, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@5a75ec37, org.springframework.security.web.context.SecurityContextPersistenceFilter@3f736a16, org.springframework.security.web.header.HeaderWriterFilter@529c2a9a, org.springframework.security.web.csrf.CsrfFilter@7f93dd4e, org.springframework.security.web.authentication.logout.LogoutFilter@707b1a44, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@26c89563, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@1e0a864d, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@22ebccb9, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@53abfc07, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@4aa21f9d, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2c05ff9d, org.springframework.security.web.session.SessionManagementFilter@26bbe604, org.springframework.security.web.access.ExceptionTranslationFilter@4375b013, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@a96d56c]
2018-07-04 19:20:03.236  INFO 2237 --- [           main] o.s.b.t.m.w.SpringBootMockServletContext : Initializing Spring FrameworkServlet ''
2018-07-04 19:20:03.237  INFO 2237 --- [           main] o.s.t.web.servlet.TestDispatcherServlet  : FrameworkServlet '': initialization started

通常可以在 MockMvc 测试期间使用我的具体 Spring Security 配置,还是我必须在测试期间使用 @SpringBootTest 启动整个 Spring 上下文?我正在使用(带有 Java 1.8 的 Spring Boot 2.0.3.RELEASE)

提前致谢!

【问题讨论】:

    标签: java spring spring-mvc spring-boot spring-security


    【解决方案1】:

    在 spring-boot 2.x 中,无法再使用属性切换安全性。您必须编写一个自己的 SecurityConfiguration 必须将其添加到您的测试上下文中。此安全配置应允许任何未经身份验证的请求。 

    @Configuration
@EnableWebSecurity
public class TestSecurityConfiguration extends WebSecurityConfigurerAdapter{
   @Override
   protected void configure(HttpSecurity http) throws Exception {
   http.csrf().disable().authorizeRequests().anyRequest().permitAll();
   }

   @Override
   public void configure(WebSecurity web) throws Exception{
     web.debug(true);
   }
}

    测试类注解:

    @ContextConfiguration(classes = { ..., TestSecurityConfiguration.class })
public class MyTests {...

    【讨论】:

    • 感谢您的回答。你是说:“这个安全配置应该允许任何未经身份验证的请求”所以我不应该测试我的具体安全配置?我只是将我的/src/main/java 中的安全配置复制粘贴到这个测试配置中?或者我应该使用@SpringBootTest 引导整个 Spring 上下文来测试我的真实安全配置?
    • 如果你想测试你的安全性,你不应该复制和粘贴你的配置。就我而言,我通过运行整个应用程序并模拟内部功能来测试我的安全性。
    猜你喜欢
    • 1970-01-01
    • 2018-10-02
    • 1970-01-01
    • 2019-11-01
    • 2013-12-28
    • 2021-05-02
    • 2016-08-02
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode