Question

Я пытаюсь проверить доступ к одному из моих @RestController, который защищен пользовательской конфигурацией Spring Security. Мой пример использования следующий: HTTP GET до /someEndpoint защищен аутентификацией, но запрос HTTP POST к той же конечной точке не защищен. Работает нормально, когда я загружаю приложение и тестирую его с помощью своего внешнего интерфейса или почтальона.

Сейчас я пытаюсь написать тесты с MockMvc с настройкой безопасности. Я уже прошел через множество ответов на StackOverflow, но мне ничего не помогло.

Моя тестовая настройка выглядит следующим образом:

@RunWith(SpringRunner.class)
@WebMvcTest(controllers = MyController.class)
@WebAppConfiguration
@ContextConfiguration
public class AssessmentControllerTest {

    private MockMvc mockMvc;

    @Autowired
    private WebApplicationContext webApplicationContext;

    @Before
    public void init() throws Exception {
        this.mockMvc = MockMvcBuilders.webAppContextSetup(webApplicationContext)
                .alwaysDo(print())
                .apply(SecurityMockMvcConfigurers.springSecurity())
                .build();
    }

    // some test methods

}

При такой настройке все мои конечные точки защищены, и даже HTTP POST возвращает 401 вместо 201. Я также включил журнал отладки для безопасности, и в журналах отладки говорится, что в тесте используется default configure(HttpSecurity), и я не могу найти ни одного из своих AntMatchers в журналах:

2018-07-04 19:20:02.829 DEBUG 2237 --- [           main] s.s.c.a.w.c.WebSecurityConfigurerAdapter : Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).
2018-07-04 19:20:03.097 DEBUG 2237 --- [           main] edFilterInvocationSecurityMetadataSource : Adding web access control expression 'authenticated', for org.springframework.security.web.util.matcher.AnyRequestMatcher@1
2018-07-04 19:20:03.127 DEBUG 2237 --- [           main] o.s.s.w.a.i.FilterSecurityInterceptor    : Validated configuration attributes
2018-07-04 19:20:03.130 DEBUG 2237 --- [           main] o.s.s.w.a.i.FilterSecurityInterceptor    : Validated configuration attributes
2018-07-04 19:20:03.161  INFO 2237 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: org.springframework.security.web.util.matcher.AnyRequestMatcher@1, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@5a75ec37, org.springframework.security.web.context.SecurityContextPersistenceFilter@3f736a16, org.springframework.security.web.header.HeaderWriterFilter@529c2a9a, org.springframework.security.web.csrf.CsrfFilter@7f93dd4e, org.springframework.security.web.authentication.logout.LogoutFilter@707b1a44, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@26c89563, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@1e0a864d, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@22ebccb9, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@53abfc07, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@4aa21f9d, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2c05ff9d, org.springframework.security.web.session.SessionManagementFilter@26bbe604, org.springframework.security.web.access.ExceptionTranslationFilter@4375b013, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@a96d56c]
2018-07-04 19:20:03.236  INFO 2237 --- [           main] o.s.b.t.m.w.SpringBootMockServletContext : Initializing Spring FrameworkServlet ''
2018-07-04 19:20:03.237  INFO 2237 --- [           main] o.s.t.web.servlet.TestDispatcherServlet  : FrameworkServlet '': initialization started

Можно ли вообще использовать мою конкретную конфигурацию Spring Security во время теста MockMvc или мне нужно загружать весь контекст Spring во время теста с @SpringBootTest? Я использую (Spring Boot 2.0.3.RELEASE с Java 1.8)

Заранее спасибо!

pDer666 · Answer 1 · 04 июля 2018

С пружинным загрузчиком 2.x больше невозможно переключать безопасность с помощью свойства. Вы должны написать собственную SecurityConfiguration, которая должна быть добавлена в ваш тестовый контекст. Эта конфигурация безопасности должна разрешать любой запрос без аутентификации.

@Configuration
@EnableWebSecurity
public class TestSecurityConfiguration extends WebSecurityConfigurerAdapter{
   @Override
   protected void configure(HttpSecurity http) throws Exception {
   http.csrf().disable().authorizeRequests().anyRequest().permitAll();
   }

   @Override
   public void configure(WebSecurity web) throws Exception{
     web.debug(true);
   }
}

аннотация тестового класса:

@ContextConfiguration(classes = { ..., TestSecurityConfiguration.class })
public class MyTests {...

Как использовать правильную конфигурацию Spring Security во время теста MockMvc

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как использовать правильную конфигурацию Spring Security во время теста MockMvc

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов