#java #spring #testing #spring-security
Вопрос:
Я использую аутентификацию на основе JWT в своем весеннем проекте, и я пытался написать тестовые примеры JUnit для защищенных конечных точек, хотя я не могу протестировать его и получить
org.opentest4j.AssertionFailedError: Ожидаемый :201 Фактический :403
Мой конфигурационный файл безопасности выглядит так :
@Configuration
@EnableWebSecurity(debug = true)
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class ScopeMapping extends WebSecurityConfigurerAdapter {
@Autowired
XsuaaServiceConfiguration xsuaaServiceConfiguration;
private static final String VT_SCOPE = "VT";
private static final String DEVELOPER_SCOPE = "Developer";
private static final String USER_SCOPE = "User";
private static final String ADMIN_SCOPE = "Admin";
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http
.headers()
.contentSecurityPolicy("script-src 'self' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/");
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.mvcMatchers(HttpMethod.GET,"/health").permitAll()
.mvcMatchers("/v2/api-docs/**", "/swagger-ui.html", "/swagger-ui/**", "/swagger-resources/**").permitAll()
.mvcMatchers("/v1/**").hasAuthority(VT_SCOPE)
.mvcMatchers("/v2/**").permitAll()
.mvcMatchers("/user/**").hasAnyAuthority(VT_SCOPE, ADMIN_SCOPE, USER_SCOPE, DEVELOPER_SCOPE)
.mvcMatchers("/admin/**").hasAnyAuthority(VT_SCOPE, ADMIN_SCOPE, DEVELOPER_SCOPE)
.mvcMatchers("/vt/**").hasAnyAuthority(VT_SCOPE, DEVELOPER_SCOPE)
.anyRequest().denyAll()
.and()
.oauth2ResourceServer()
.jwt()
.jwtAuthenticationConverter(getJwtAuthenticationConverter());
}
Converter<Jwt, AbstractAuthenticationToken> getJwtAuthenticationConverter() {
TokenAuthenticationConverter converter = new TokenAuthenticationConverter(xsuaaServiceConfiguration);
converter.setLocalScopeAsAuthorities(true);
return converter;
}
}
Тестовый случай
@WithUserDetails(value="ram",userDetailsServiceBeanName = "secureBean")
public void addForumTest() throws Exception {
// ForumQuery forumQuery = new ForumQuery("1","Query 1","Query 1 Desc","1",currentTime,replies,forumLikes);
ForumQueryDto forumQueryDto = new ForumQueryDto("1","Query 1","Query 1 Desc",userDto,currentTime,repliesDto);
Mockito.when(forumService.insertQuery(Mockito.any(ForumQueryDto.class))).thenReturn(forumQueryDto);
MvcResult result = mockMvc.perform(MockMvcRequestBuilders.post("/user/forum/add")
.contentType("application/json")
// .header(HttpHeaders.AUTHORIZATION,<JWT-TOKEN>)
.content(objectMapper.writeValueAsString(forumQueryDto)))
.andReturn();
MockHttpServletResponse response = result.getResponse();
assertEquals(HttpStatus.CREATED.value(), response.getStatus());
}
Изготовленный на заказ Фасоль
@Bean("secureBean")
public UserDetailsService userDetailsService() {
GrantedAuthority authority = new SimpleGrantedAuthority("VT_SCOPE");
GrantedAuthority authority1 = new SimpleGrantedAuthority("ADMIN_SCOPE");
GrantedAuthority authority2 = new SimpleGrantedAuthority("USER_SCOPE");
GrantedAuthority authority3 = new SimpleGrantedAuthority("DEVELOPER_SCOPE");
UserDetails userDetails = (UserDetails) new User("ram", "ram123", Arrays.asList(authority
, authority1, authority2, authority3));
return new InMemoryUserDetailsManager(Arrays.asList(userDetails));
}
Ответ №1:
Пожалуйста, взгляните сюда. Spring security поставляется с надлежащей поддержкой тестирования. Я поделился ссылкой на раздел, посвященный поддержке тестирования безопасности.
Пример:
@Test
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public void getMessageWithMockUserCustomUser() {
String message = messageService.getMessage();
...
}
Именно так вы применяете аннотации тестов к классу.
@RunWith(SpringJUnit4ClassRunner.class)
@ContextConfiguration
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public class WithMockUserTests {
}
Ответ №2:
В конфигурации безопасности вы указали, что любые соответствующие конечные "/user/**" точки должны иметь полномочия «VT», «Администратор», «Пользователь» или «Разработчик».
.mvcMatchers("/user/**").hasAnyAuthority(VT_SCOPE, ADMIN_SCOPE, USER_SCOPE, DEVELOPER_SCOPE)
Однако в тесте запрос выполняется с пользователем, у которого есть полномочия «VT_SCOPE», «ADMIN_SCOPE», «USER_SCOPE» и «DEVELOPER_SCOPE».
Ни один из этих органов не соответствует требуемым полномочиям, поэтому вы видите ответ 403.
Обратите внимание, что вы можете более надежно протестировать аутентификацию JWT, используя встроенный jwt() RequestPostProcessor.
mvc
.perform(post("/user/forum/add")
.with(jwt().authorities(new SimpleGrantedAuthority("SCOPE_example"))));
Вы можете найти подробные сведения и примеры в справочной документации по безопасности Spring.