在 Spring Boot 中禁用@WebMvcTest的 Spring Security 配置类

java spring spring-mvc spring-boot spring-security

2022-09-01 09:08:05

最近，我使用以下类将Spring Security添加到我的Spring Boot项目中：

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MySecurityConfig {
}

因此，默认情况下，我的所有URL现在都受到身份验证和自生成密码的保护。

问题是，我用于对控制器进行单元测试的@WebMvcTest类中的所有测试：

@RunWith(SpringRunner.class)
@WebMvcTest(SomeController.class)
public class SomeControllerTest {...}

由于缺乏授权，现在到处都失败了。

问：我能告诉@Test方法忽略授权，以便它们像以前一样继续成功吗？

如何防止在特定的@WebMvcTest单元测试类上选取@EnableWebSecurity配置类？

我希望已经到位的测试仍然能够通过并在以后单独测试身份验证功能。

到目前为止，我已尝试在测试类中使用嵌套的配置类，以排除安全配置：

@RunWith(SpringRunner.class)
@WebMvcTest(SomeController.class)
public class SomeControllerTest {

    @Configuration
    @EnableAutoConfiguration(exclude = { SecurityAutoConfiguration.class})
    static class ContextConfiguration { }

 ....}

但它似乎不起作用。

注意：我使用的是 Spring Boot 1.5.8

答案 1

对于我在Spring Boot 2.2.4（JUnit5）中，以下似乎已经工作并绕过了安全过滤器。

@ExtendWith(SpringExtension.class)
@WebMvcTest(SomeController.class)
@AutoConfigureMockMvc(addFilters = false)
public class SomeControllerTest {
...

注意：这只会禁用SpringSecurity配置中的任何过滤器。它不会完全禁用安全性。换句话说，它仍然可以在不加载任何过滤器的情况下引导安全性。

答案 2

您可以在@WebMvcTest annoation 中设置 secure=false。它将跳过测试中的弹簧安全MockMvc自动配置

@WebMvcTest(controllers = SomeController.class, secure = false)
public class SomeControllerTest {

作者注意：截至2021年，这个答案已经过时了几年，它可能不适合你。