简单地测试弹簧启动安全性

security java testing spring spring-boot

2022-09-04 20:21:36

我正在努力测试受Spring Security保护的URL上的访问控制。

配置如下所示：

    http
            .authorizeRequests()
            .antMatchers("/api/user/**", "/user").authenticated()
            .antMatchers("/api/admin/**", "/templates/admin/**", "/admin/**").hasAuthority("ADMIN")
            .anyRequest().permitAll();

测试类如下所示：

package com.kubukoz.myapp;

import com.kubukoz.myapp.config.WebSecurityConfig;
import org.junit.Before;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.SpringApplicationConfiguration;
import org.springframework.security.web.FilterChainProxy;
import org.springframework.test.context.ActiveProfiles;
import org.springframework.test.context.junit4.SpringJUnit4ClassRunner;
import org.springframework.test.context.transaction.TransactionConfiguration;
import org.springframework.test.context.web.WebAppConfiguration;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.springframework.web.context.WebApplicationContext;

import javax.transaction.Transactional;

import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;


@RunWith(SpringJUnit4ClassRunner.class)
@SpringApplicationConfiguration(classes = {MyApplication.class, WebSecurityConfig.class})
@WebAppConfiguration
@TransactionConfiguration(defaultRollback = true)
@Transactional(rollbackOn = Exception.class)
public class MyApplicationTests {

    @Autowired
    private WebApplicationContext context;
    private MockMvc mockMvc;
    @Autowired
    private FilterChainProxy filterChainProxy;

    @Before
    public void setUp() {
        mockMvc = MockMvcBuilders.webAppContextSetup(context)
                .dispatchOptions(true)
                .addFilters(filterChainProxy)
                .build();
    }

    @Test
    public void testAnonymous() throws Exception {
        mockMvc.perform(get("/api/user/account")).andExpect(status().is3xxRedirection());
    }

    @Test
    public void testUserAccessForAccount() throws Exception{
        mockMvc.perform(get("/api/user/account")).andExpect(status().isOk());
    }
}

使最后两个测试通过的最简单方法是什么？@WithMockUser不起作用。

答案 1

您不应直接添加 FilterChainProxy。相反，您应该按照引用指示进行应用。下面包含一个示例：SecurityMockMvcConfigurers.springSecurity()

mockMvc = MockMvcBuilders
            .webAppContextSetup(context)
            .apply(springSecurity())
            .build();

其结果是：

被添加为一个（就像你所做的那样）FilterChainProxyFilterMockMvc
已添加TestSecurityContextHolderPostProcessor

为什么有必要？原因是我们需要将当前用户从测试方法传达给创建的测试方法。这是必要的，因为Spring Security将覆盖任何值on，使其成为当前找到的值（即in）。TestSecurityContextHolderPostProcessorMockHttpServletRequestSecurityContextRepositoryFilterSecurityContextHolderSecurityContextRepositorySecurityContextHttpSession

更新

请记住，方法名称中包含 role 的任何内容都会自动将“ROLE_”前缀作为传入的字符串。

根据您的注释，问题是您需要更新配置以使用 hasRole 而不是 hasAuthority（因为您的注释使用角色）：

.authorizeRequests()
            .antMatchers("/api/user/**", "/user").authenticated()
            .antMatchers("/api/admin/**", "/templates/admin/**", "/admin/**").hasRole("ADMIN")
            .anyRequest().permitAll();

或者

在Spring Security 4.0.2+中，您可以使用：

@WithMockUser(authorities="ADMIN")

答案 2

好了，想通了。

mockMvc.perform(get("/api/user/account")
      .with(user("user")))
      .andExpect(status().isOk());

它现在工作。