SpringSecurity 测试实战
引言
试题管理系统的安全模块使用SpringSecurity,代码从原华软仓库移植,在移植的过程中,发现原测试编写的不好,遂在新系统中对安全模块测试进行了重构。
Spring测试
添加@SpringBootTest注解,意为这是一个基于SpringBoot的单元测试。
SpringBoot在官方的Guide中提供了多种测试方式。
@SpringBootTest注解中的webEnvironment属性可以配置测试环境,默认为MOCK环境。
/**
*Thetypeofwebenvironmenttocreatewhenapplicable.Defaultsto
*{@linkWebEnvironment#MOCK}.
*@returnthetypeofwebenvironment
*/
WebEnvironmentwebEnvironment()defaultWebEnvironment.MOCK;
模拟环境测试
启用SpringSecurity后,单元测试中对api的测试会被SpringSecurity的Filter进行拦截,所以测试之前需要进行用户登录操作。
之前都是使用比较笨重的方法,写一个@Before,@Before里进行登录,之后再执行测试方法。
最近在阅读SpringSecurityTest文档之后,终于找到一种模拟登录十分简便的方法,@WithMockUser。
testmethodwithmockuser-springsecuritytest
引入SpringSecurityTest依赖:
org.springframework.security spring-security-test test
示例代码如下:
@SpringBootTest
@RunWith(SpringRunner.class)
@AutoConfigureMockMvc
@WithMockUser(username="admin",password="admin")
publicclassControllerTest{
@Autowired
protectedMockMvcmockMvc;
@Test
voidcontextLoads(){
}
}
注:@RunWith(SpringRunner.class)表示当前测试使用org.springframework.test.context.junit4.SpringRunner类来执行,最新的SpringBoot版本中已经全面启用junit5,不推荐使用junit4.SpringRunner,因为未经过内部学习与测试,未在生产项目中使用。
真实环境测试
为了减少学习与沟通的成本,之前,所有的测试规定都在MOCK环境下,使用MockMVC进行api测试。
虽然MOCK环境能解决大部分的问题,并且可以在不启动Server的情况下直接进行测试,但在某些场景下,仍需要真实环境下的HTTP服务与请求测试。
启用SpringSecurity后,MockMVC是直接测试控制器,并非在真实的HTTP服务器下进行测试,MOCK环境中使用的是MockHttpSession,这不是标准的Session实现,没有加入对COOKIE的支持,所以在测试安全模块时,无法像浏览器一样测试COOKIE等认证信息。
springmockmvcdoesn'tcontaincookies-stackoverflow
去StackOverflow上也没有解决方案,答案推荐使用TestRestTemplate+真实的服务器环境进行单元测试。
将webEnvironment配置为SpringBootTest.WebEnvironment.RANDOM_PORT,即表示当前测试在一个随机端口的真实Web环境下运行。
@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment=SpringBootTest.WebEnvironment.RANDOM_PORT)
classAuthControllerTest{
@Autowired
privateTestRestTemplaterestTemplate;
}
测试时使用TestRestTemplate进行网络请求的发送,真实模拟Web服务器环境。
示例代码如下:
logger.debug("3:测试用户名密码正确");
username=RIGHT_USERNAME;
password=RIGHT_PASSWORD;
response=this.restTemplate
.withBasicAuth(username,password)
.getForEntity(CONFIG_LOGIN,Void.class);
logger.debug("断言:状态码为200");
assertThat(response.getStatusCode().value()).isEqualTo(HttpStatus.OK.value());
logger.debug("获取response的Set-Cookie信息,并断言");
StringsetCookie=response.getHeaders().getFirst(HttpHeaders.SET_COOKIE);
assertThat(setCookie).isNotNull();
总结
两个各有优点,之前我们一直使用简单方便的Mock环境进行测试,但当我们有一天,发现这个Mock环境测试下的MockHttpSession无法满足需求的时候,我们开始探索其他的测试方案。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。