Запрос REST блокируется при выполнении в `@ SpringBootTest`, но не при запуске приложения?

Question

У меня есть приложение Spring Boot с API-интерфейсом REST Jersey в /rest:

@Component
@ApplicationPath("/rest")
public class RestApplication extends ResourceConfig {
    public RestApplication(){
        packages("ch.cypherk.myapp.service.rest");
    }
}

. Это контроллер, который должен позволять пользователю входить в систему:

@Service
@Path("/login")
class LoginRestController
@Inject constructor(
    private val authenticationService: MyAuthenticationProvider
) {

    @Operation(summary = "Login user, use cookie JSESSIONID in response header for further requests authentication.",
        requestBody = RequestBody(description = "Login credentials of user.", required = true,
            content = [Content(schema = Schema(implementation = LoginDto::class))]),
        responses = [
            ApiResponse(responseCode = "202", description = "Login successful."),
            ApiResponse(responseCode = "403", description = "Invalid credentials supplied.")])
    @POST
    fun postLogin(loginCredentials: LoginDto) {
        val auth = UsernamePasswordAuthenticationToken(loginCredentials.username,loginCredentials.password)
        authenticationService.authenticate(auth)
    }
}

Где

@Service
class MyAuthenticationProvider (
    ...
): AbstractUserDetailsAuthenticationProvider() {

    @Transactional
    override fun authenticate(authentication: Authentication?): Authentication {
        return super.authenticate(authentication)
    }
    ...
}

- это просто пользовательская реализация, которая добавляет кучу дополнительных проверок.

Если я запускаю приложение Spring Boot и использую почтальон для отправки запроса на http://localhost:8080/rest/loginи с действительными учетными данными, все работает как задумано.

Однако, если я пытаюсь написать тест для него,

import com.mashape.unirest.http.Unirest
import io.restassured.RestAssured.given
import org.apache.http.HttpStatus.*
import org.assertj.core.api.Assertions.assertThat
import org.junit.Test
import org.junit.runner.RunWith
import org.springframework.boot.test.context.SpringBootTest
import org.springframework.boot.test.context.SpringBootTest.WebEnvironment
import org.springframework.test.context.junit4.SpringJUnit4ClassRunner

@RunWith(SpringJUnit4ClassRunner::class)
@SpringBootTest(webEnvironment = WebEnvironment.DEFINED_PORT)
class LoginRestControllerIT {

    @Test
    fun login() {
        given()
            .contentType("application/json")
            .body(LoginDto("testuserA", "secret"))
        .When()
            .post("/rest/login")

        .then()
            .statusCode(SC_NO_CONTENT)
            .cookie("JSESSIONID")
    }
}

, это выдает мне ошибку, потому что я ожидал 204 (нетcontent) ответный код и получил 403 (запрещено).

Почему?

Приведенный выше код использует RestAssured , но проблема не в платформе, поскольку я пытался переписать тест с Unirest ,

val response = Unirest.post("http://localhost:8080/rest/login")
    .field("username","testuserA")
    .field("password","secret")
    .asJson()

assertThat(response.status).isEqualTo(SC_NO_CONTENT)

и получил ту же ошибку.

Я установил точку останова в первом операторе в моей LoginRestController login функции, и она НЕ достигнута.Это означает, что что-то где-то ранее в цепочке уже отклоняет запрос

Моя конфигурация безопасности выглядит следующим образом:

@Configuration
@EnableWebSecurity
@EnableVaadin
@EnableVaadinSharedSecurity
@EnableGlobalMethodSecurity(
    securedEnabled = true,
    prePostEnabled = true,
    proxyTargetClass = true
)
class VaadinAwareSecurityConfiguration @Inject constructor(
    private val authenticationProvider:AuthenticationProvider
) : WebSecurityConfigurerAdapter() {


    override fun configure(http: HttpSecurity) {
        http
            .csrf().disable()
            .httpBasic().disable()
            .formLogin().disable()
            .authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/login").anonymous()
                .antMatchers("/rest/login/**").permitAll()
                .antMatchers("/vaadinServlet/UIDL/**").permitAll()
                .antMatchers("/vaadinServlet/HEARTBEAT/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .logout()
                .addLogoutHandler(logoutHandler())
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login?goodbye").permitAll()
                .and()
            .exceptionHandling()
                .authenticationEntryPoint(LoginUrlAuthenticationEntryPoint("/login"))
    }

    override fun configure(web: WebSecurity) {
        web
            .ignoring().antMatchers(
                "/VAADIN/**"
            )
    }

    override fun configure(auth: AuthenticationManagerBuilder) {
        auth
            .authenticationProvider(authenticationProvider)
    }

    private fun logoutHandler(): LogoutHandler {
        return VaadinSessionClosingLogoutHandler()
    }

    @Bean
    fun myAuthenticationManager(): AuthenticationManager {
        return super.authenticationManagerBean()
    }
}

ОБНОВЛЕНИЕ

Похоже, что org.springframework.security.web.csrf.CsrfFilter в итоге выдает AccessDeniedException, потому что токен csrf отсутствует ... но он не должен этого делать, так как я отключил защиту Spring от csrf ...