测试方法安全性
本节演示如何使用 Spring Security 的测试支持来测试基于方法的安全。我们首先介绍一个 MessageService,它要求用户经过身份验证才能访问它
-
Java
-
Kotlin
public class HelloMessageService implements MessageService {
@PreAuthorize("authenticated")
public String getMessage() {
Authentication authentication = SecurityContextHolder.getContext()
.getAuthentication();
return "Hello " + authentication;
}
}class HelloMessageService : MessageService {
@PreAuthorize("authenticated")
fun getMessage(): String {
val authentication: Authentication = SecurityContextHolder.getContext().authentication
return "Hello $authentication"
}
}getMessage 的结果是一个字符串,它向当前 Spring Security Authentication 说“Hello”。以下清单显示了示例输出
Hello org.springframework.security.authentication.UsernamePasswordAuthenticationToken@ca25360: Principal: org.springframework.security.core.userdetails.User@36ebcb: Username: user; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_USER; Credentials: [PROTECTED]; Authenticated: true; Details: null; Granted Authorities: ROLE_USER安全测试设置
在我们可以使用 Spring Security 测试支持之前,我们必须执行一些设置
-
Java
-
Kotlin
@ExtendWith(SpringExtension.class) (1)
@ContextConfiguration (2)
public class WithMockUserTests {
// ...
}@ExtendWith(SpringExtension.class)
@ContextConfiguration
class WithMockUserTests {
// ...
}| 1 | @ExtendWith 指示 spring-test 模块它应该创建一个 ApplicationContext。有关更多信息,请参阅Spring 参考。 |
| 2 | @ContextConfiguration 指示 spring-test 使用哪个配置来创建 ApplicationContext。由于没有指定配置,因此将尝试默认配置位置。这与使用现有的 Spring 测试支持没有什么不同。有关更多信息,请参阅Spring 参考。 |
|
Spring Security 通过 |
请记住,我们在 HelloMessageService 中添加了 @PreAuthorize 注解,因此它需要经过身份验证的用户才能调用它。如果我们运行测试,我们预计以下测试将通过
-
Java
-
Kotlin
@Test(expected = AuthenticationCredentialsNotFoundException.class)
public void getMessageUnauthenticated() {
messageService.getMessage();
}@Test(expected = AuthenticationCredentialsNotFoundException::class)
fun getMessageUnauthenticated() {
messageService.getMessage()
}@WithMockUser
问题是“我们如何才能最轻松地以特定用户身份运行测试?”答案是使用 @WithMockUser。以下测试将以用户名为“user”,密码为“password”,角色为“ROLE_USER”的用户身份运行。
-
Java
-
Kotlin
@Test
@WithMockUser
public void getMessageWithMockUser() {
String message = messageService.getMessage();
...
}@Test
@WithMockUser
fun getMessageWithMockUser() {
val message: String = messageService.getMessage()
// ...
}具体来说,以下内容为真
-
用户名为
user的用户不必存在,因为我们模拟了用户对象。 -
填充到
SecurityContext中的Authentication的类型为UsernamePasswordAuthenticationToken。 -
Authentication上的主体是 Spring Security 的User对象。 -
User的用户名为user。 -
User的密码为password。 -
使用了一个名为
ROLE_USER的单个GrantedAuthority。
前面的示例非常方便,因为它允许我们使用许多默认值。如果我们想使用不同的用户名运行测试怎么办?以下测试将以用户名 customUser 运行(同样,用户不需要实际存在)
-
Java
-
Kotlin
@Test
@WithMockUser("customUsername")
public void getMessageWithMockUserCustomUsername() {
String message = messageService.getMessage();
...
}@Test
@WithMockUser("customUsername")
fun getMessageWithMockUserCustomUsername() {
val message: String = messageService.getMessage()
// ...
}我们还可以轻松自定义角色。例如,以下测试将以用户名为 admin,角色为 ROLE_USER 和 ROLE_ADMIN 的用户身份调用。
-
Java
-
Kotlin
@Test
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public void getMessageWithMockUserCustomUser() {
String message = messageService.getMessage();
...
}@Test
@WithMockUser(username="admin",roles=["USER","ADMIN"])
fun getMessageWithMockUserCustomUser() {
val message: String = messageService.getMessage()
// ...
}如果我们不希望该值自动以 ROLE_ 为前缀,我们可以使用 authorities 属性。例如,以下测试将以用户名为 admin 以及 USER 和 ADMIN 权限的用户身份调用。
-
Java
-
Kotlin
@Test
@WithMockUser(username = "admin", authorities = { "ADMIN", "USER" })
public void getMessageWithMockUserCustomAuthorities() {
String message = messageService.getMessage();
...
}@Test
@WithMockUser(username = "admin", authorities = ["ADMIN", "USER"])
fun getMessageWithMockUserCustomUsername() {
val message: String = messageService.getMessage()
// ...
}在每个测试方法上放置注释可能有点乏味。相反,我们可以在类级别放置注释。然后每个测试都使用指定的用户。以下示例使用用户名为 admin,密码为 password,并且具有 ROLE_USER 和 ROLE_ADMIN 角色的用户运行每个测试
-
Java
-
Kotlin
@ExtendWith(SpringExtension.class)
@ContextConfiguration
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public class WithMockUserTests {
// ...
}@ExtendWith(SpringExtension.class)
@ContextConfiguration
@WithMockUser(username="admin",roles=["USER","ADMIN"])
class WithMockUserTests {
// ...
}如果您使用 JUnit 5 的 @Nested 测试支持,您也可以在封闭类上放置注释以应用于所有嵌套类。以下示例使用用户名为 admin,密码为 password,并且具有 ROLE_USER 和 ROLE_ADMIN 角色的用户运行这两个测试方法。
-
Java
-
Kotlin
@ExtendWith(SpringExtension.class)
@ContextConfiguration
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public class WithMockUserTests {
@Nested
public class TestSuite1 {
// ... all test methods use admin user
}
@Nested
public class TestSuite2 {
// ... all test methods use admin user
}
}@ExtendWith(SpringExtension::class)
@ContextConfiguration
@WithMockUser(username = "admin", roles = ["USER", "ADMIN"])
class WithMockUserTests {
@Nested
inner class TestSuite1 { // ... all test methods use admin user
}
@Nested
inner class TestSuite2 { // ... all test methods use admin user
}
}默认情况下,SecurityContext 在 TestExecutionListener.beforeTestMethod 事件期间设置。这相当于在 JUnit 的 @Before 之前发生。您可以将其更改为在 TestExecutionListener.beforeTestExecution 事件期间发生,该事件在 JUnit 的 @Before 之后但在调用测试方法之前发生
@WithMockUser(setupBefore = TestExecutionEvent.TEST_EXECUTION)@WithAnonymousUser
使用@WithAnonymousUser可以模拟匿名用户运行测试。当您希望大部分测试使用特定用户运行,但又想运行一些匿名用户的测试时,这尤其方便。以下示例使用@WithMockUser运行withMockUser1和withMockUser2,并使用anonymous作为匿名用户。
-
Java
-
Kotlin
@ExtendWith(SpringExtension.class)
@WithMockUser
public class WithUserClassLevelAuthenticationTests {
@Test
public void withMockUser1() {
}
@Test
public void withMockUser2() {
}
@Test
@WithAnonymousUser
public void anonymous() throws Exception {
// override default to run as anonymous user
}
}@ExtendWith(SpringExtension.class)
@WithMockUser
class WithUserClassLevelAuthenticationTests {
@Test
fun withMockUser1() {
}
@Test
fun withMockUser2() {
}
@Test
@WithAnonymousUser
fun anonymous() {
// override default to run as anonymous user
}
}默认情况下,SecurityContext 在 TestExecutionListener.beforeTestMethod 事件期间设置。这相当于在 JUnit 的 @Before 之前发生。您可以将其更改为在 TestExecutionListener.beforeTestExecution 事件期间发生,该事件在 JUnit 的 @Before 之后但在调用测试方法之前发生
@WithAnonymousUser(setupBefore = TestExecutionEvent.TEST_EXECUTION)@WithUserDetails
虽然@WithMockUser是一种便捷的入门方式,但在某些情况下可能无法正常工作。例如,某些应用程序期望Authentication主体为特定类型。这样做是为了使应用程序能够将主体引用为自定义类型,并减少对Spring Security的耦合。
自定义主体通常由自定义的UserDetailsService返回,该服务返回一个同时实现UserDetails和自定义类型的对象。对于这种情况,使用自定义的UserDetailsService创建测试用户非常有用。这正是@WithUserDetails的作用。
假设我们有一个作为Bean公开的UserDetailsService,则以下测试将使用类型为UsernamePasswordAuthenticationToken的Authentication以及从UserDetailsService返回的主体(用户名为user)进行调用。
-
Java
-
Kotlin
@Test
@WithUserDetails
public void getMessageWithUserDetails() {
String message = messageService.getMessage();
...
}@Test
@WithUserDetails
fun getMessageWithUserDetails() {
val message: String = messageService.getMessage()
// ...
}我们还可以自定义用于从我们的UserDetailsService查找用户的用户名。例如,此测试可以使用从UserDetailsService返回的主体(用户名为customUsername)运行。
-
Java
-
Kotlin
@Test
@WithUserDetails("customUsername")
public void getMessageWithUserDetailsCustomUsername() {
String message = messageService.getMessage();
...
}@Test
@WithUserDetails("customUsername")
fun getMessageWithUserDetailsCustomUsername() {
val message: String = messageService.getMessage()
// ...
}我们还可以提供一个显式的Bean名称来查找UserDetailsService。以下测试使用Bean名为myUserDetailsService的UserDetailsService查找用户名customUsername。
-
Java
-
Kotlin
@Test
@WithUserDetails(value="customUsername", userDetailsServiceBeanName="myUserDetailsService")
public void getMessageWithUserDetailsServiceBeanName() {
String message = messageService.getMessage();
...
}@Test
@WithUserDetails(value="customUsername", userDetailsServiceBeanName="myUserDetailsService")
fun getMessageWithUserDetailsServiceBeanName() {
val message: String = messageService.getMessage()
// ...
}与@WithMockUser一样,我们也可以将注释放在类级别,以便每个测试都使用相同的用户。但是,与@WithMockUser不同,@WithUserDetails要求用户存在。
默认情况下,SecurityContext 在 TestExecutionListener.beforeTestMethod 事件期间设置。这相当于在 JUnit 的 @Before 之前发生。您可以将其更改为在 TestExecutionListener.beforeTestExecution 事件期间发生,该事件在 JUnit 的 @Before 之后但在调用测试方法之前发生
@WithUserDetails(setupBefore = TestExecutionEvent.TEST_EXECUTION)@WithSecurityContext
我们已经看到,如果我们不使用自定义的Authentication主体,@WithMockUser是一个很好的选择。接下来,我们发现@WithUserDetails允许我们使用自定义的UserDetailsService来创建我们的Authentication主体,但要求用户存在。现在我们看到了一个允许最大灵活性的选项。
我们可以创建自己的注释,使用@WithSecurityContext创建我们想要的任何SecurityContext。例如,我们可能会创建一个名为@WithMockCustomUser的注释。
-
Java
-
Kotlin
@Retention(RetentionPolicy.RUNTIME)
@WithSecurityContext(factory = WithMockCustomUserSecurityContextFactory.class)
public @interface WithMockCustomUser {
String username() default "rob";
String name() default "Rob Winch";
}@Retention(AnnotationRetention.RUNTIME)
@WithSecurityContext(factory = WithMockCustomUserSecurityContextFactory::class)
annotation class WithMockCustomUser(val username: String = "rob", val name: String = "Rob Winch")您可以看到@WithMockCustomUser使用@WithSecurityContext注释进行注解。这向Spring Security测试支持表明我们打算为测试创建一个SecurityContext。@WithSecurityContext注释要求我们指定一个SecurityContextFactory,以便根据我们的@WithMockCustomUser注释创建一个新的SecurityContext。以下清单显示了我们的WithMockCustomUserSecurityContextFactory实现。
-
Java
-
Kotlin
public class WithMockCustomUserSecurityContextFactory
implements WithSecurityContextFactory<WithMockCustomUser> {
@Override
public SecurityContext createSecurityContext(WithMockCustomUser customUser) {
SecurityContext context = SecurityContextHolder.createEmptyContext();
CustomUserDetails principal =
new CustomUserDetails(customUser.name(), customUser.username());
Authentication auth =
UsernamePasswordAuthenticationToken.authenticated(principal, "password", principal.getAuthorities());
context.setAuthentication(auth);
return context;
}
}class WithMockCustomUserSecurityContextFactory : WithSecurityContextFactory<WithMockCustomUser> {
override fun createSecurityContext(customUser: WithMockCustomUser): SecurityContext {
val context = SecurityContextHolder.createEmptyContext()
val principal = CustomUserDetails(customUser.name, customUser.username)
val auth: Authentication =
UsernamePasswordAuthenticationToken(principal, "password", principal.authorities)
context.authentication = auth
return context
}
}现在,我们可以使用新的注释来注解测试类或测试方法,并使用Spring Security的WithSecurityContextTestExecutionListener来确保我们的SecurityContext被正确填充。
在创建您自己的WithSecurityContextFactory实现时,了解它们可以使用标准的Spring注释进行注解是很好的。例如,WithUserDetailsSecurityContextFactory使用@Autowired注释来获取UserDetailsService。
-
Java
-
Kotlin
final class WithUserDetailsSecurityContextFactory
implements WithSecurityContextFactory<WithUserDetails> {
private UserDetailsService userDetailsService;
@Autowired
public WithUserDetailsSecurityContextFactory(UserDetailsService userDetailsService) {
this.userDetailsService = userDetailsService;
}
public SecurityContext createSecurityContext(WithUserDetails withUser) {
String username = withUser.value();
Assert.hasLength(username, "value() must be non-empty String");
UserDetails principal = userDetailsService.loadUserByUsername(username);
Authentication authentication = UsernamePasswordAuthenticationToken.authenticated(principal, principal.getPassword(), principal.getAuthorities());
SecurityContext context = SecurityContextHolder.createEmptyContext();
context.setAuthentication(authentication);
return context;
}
}class WithUserDetailsSecurityContextFactory @Autowired constructor(private val userDetailsService: UserDetailsService) :
WithSecurityContextFactory<WithUserDetails> {
override fun createSecurityContext(withUser: WithUserDetails): SecurityContext {
val username: String = withUser.value
Assert.hasLength(username, "value() must be non-empty String")
val principal = userDetailsService.loadUserByUsername(username)
val authentication: Authentication =
UsernamePasswordAuthenticationToken(principal, principal.password, principal.authorities)
val context = SecurityContextHolder.createEmptyContext()
context.authentication = authentication
return context
}
}默认情况下,SecurityContext 在 TestExecutionListener.beforeTestMethod 事件期间设置。这相当于在 JUnit 的 @Before 之前发生。您可以将其更改为在 TestExecutionListener.beforeTestExecution 事件期间发生,该事件在 JUnit 的 @Before 之后但在调用测试方法之前发生
@WithSecurityContext(setupBefore = TestExecutionEvent.TEST_EXECUTION)测试元注释
如果您经常在测试中重复使用相同的用户,则反复指定属性并不是理想的做法。例如,如果您有很多与用户名为admin且角色为ROLE_USER和ROLE_ADMIN的管理员用户相关的测试,则必须编写
-
Java
-
Kotlin
@WithMockUser(username="admin",roles={"USER","ADMIN"})@WithMockUser(username="admin",roles=["USER","ADMIN"])与其到处重复,我们可以使用元注释。例如,我们可以创建一个名为WithMockAdmin的元注释。
-
Java
-
Kotlin
@Retention(RetentionPolicy.RUNTIME)
@WithMockUser(value="rob",roles="ADMIN")
public @interface WithMockAdmin { }@Retention(AnnotationRetention.RUNTIME)
@WithMockUser(value = "rob", roles = ["ADMIN"])
annotation class WithMockAdmin现在,我们可以像使用更冗长的@WithMockUser一样使用@WithMockAdmin。
元注释适用于上面描述的任何测试注释。例如,这意味着我们也可以为@WithUserDetails("admin")创建一个元注释。
