一尘不染

在Spring Boot 1.4中测试安全性

spring-boot

我正在尝试@WebMvcTest使用在SecurityConfig类中定义的自定义安全设置 进行测试:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/admin*").access("hasRole('ADMIN')").antMatchers("/**").permitAll().and().formLogin();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("user").password("password").roles("ADMIN");
    }
}

测试类是:

@RunWith(SpringRunner.class)
@WebMvcTest(value = ExampleController.class)
public class ExampleControllerMockMVCTest {

    @Autowired
    private MockMvc mockMvc;

    @Test
    public void indexTest() throws Exception {
        mockMvc.perform(get("/"))
        .andExpect(status().isOk())
        .andExpect(view().name("index"));
    }

    @Test
    public void adminTestWithoutAuthentication() throws Exception {
        mockMvc.perform(get("/admin"))
        .andExpect(status().is3xxRedirection()); //login form redirect
    }

    @Test
    @WithMockUser(username="example", password="password", roles={"ANONYMOUS"})
    public void adminTestWithBadAuthentication() throws Exception {
        mockMvc.perform(get("/admin"))
        .andExpect(status().isForbidden());
    }

    @Test
    @WithMockUser(username="user", password="password", roles={"ADMIN"})
    public void adminTestWithAuthentication() throws Exception {
        mockMvc.perform(get("/admin"))
        .andExpect(status().isOk())
        .andExpect(view().name("admin"))
        .andExpect(model().attributeExists("name"))
        .andExpect(model().attribute("name", is("user")));
    }
}

测试失败,因为它们使用的是Spring Boot的默认安全设置。

我可以使用@SpringBootTest+ 修复@AutoConfigureMockMvc它,但是在不运行所有自动配置的情况下进行测试将很有趣。

@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment = WebEnvironment.MOCK)
@AutoConfigureMockMvc
public class ExampleControllerSpringBootTest {

    @Autowired
    private MockMvc mockMvc;

    // tests
}

有什么方法@WebMvcTest可以使用在SecurityConfig课堂上定义的设置?


阅读 318

收藏
2020-05-30

共1个答案

一尘不染

WebMvcTest只会加载您的控制器,而不会加载其他东西(这就是我们称其为切片的原因)。我们无法确定您需要配置的哪一部分,而不需要。如果安全配置不在主目录上@SpringBootApplication,则必须显式导入它。否则,Spring
Boot将启用默认安全设置。

如果您使用的是OAuth之类的东西,那是一件好事,因为您真的不想开始将其用于模拟测试。如果添加@Import(SecurityConfig.class)到测试中会怎样?

2020-05-30