SpringSecurity 测试实战
引言
试题管理系统的安全模块使用Spring Security,代码从原华软仓库移植,在移植的过程中,发现原测试编写的不好,遂在新系统中对安全模块测试进行了重构。
Spring 测试
添加@SpringBootTest注解,意为这是一个基于SpringBoot的单元测试。
SpringBoot在官方的Guide中提供了多种测试方式。
@SpringBootTest注解中的webEnvironment属性可以配置测试环境,默认为MOCK环境。
/**
* The type of web environment to create when applicable. Defaults to
* {@link WebEnvironment#MOCK}.
* @return the type of web environment
*/
WebEnvironment webEnvironment() default WebEnvironment.MOCK;
模拟环境测试
启用Spring Security后,单元测试中对api的测试会被Spring Security的Filter进行拦截,所以测试之前需要进行用户登录操作。
之前都是使用比较笨重的方法,写一个@Before,@Before里进行登录,之后再执行测试方法。
最近在阅读Spring Security Test文档之后,终于找到一种模拟登录十分简便的方法,@WithMockUser。
test method with mock user - spring security test
引入Spring Security Test依赖:
<!-- Spring Security Test --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency>
示例代码如下:
@SpringBootTest
@RunWith(SpringRunner.class)
@AutoConfigureMockMvc
@WithMockUser(username = "admin", password = "admin")
public class ControllerTest {
@Autowired
protected MockMvc mockMvc;
@Test
void contextLoads() {
}
}
注:@RunWith(SpringRunner.class)表示当前测试使用org.springframework.test.context.junit4.SpringRunner类来执行,最新的SpringBoot版本中已经全面启用junit5,不推荐使用junit4.SpringRunner,因为未经过内部学习与测试,未在生产项目中使用。
真实环境测试
为了减少学习与沟通的成本,之前,所有的测试规定都在MOCK环境下,使用MockMVC进行api测试。
虽然MOCK环境能解决大部分的问题,并且可以在不启动Server的情况下直接进行测试,但在某些场景下,仍需要真实环境下的HTTP服务与请求测试。
启用Spring Security后,MockMVC是直接测试控制器,并非在真实的HTTP服务器下进行测试,MOCK环境中使用的是MockHttpSession,这不是标准的Session实现,没有加入对COOKIE的支持,所以在测试安全模块时,无法像浏览器一样测试COOKIE等认证信息。
spring mockmvc doesn't contain cookies - stackoverflow
去StackOverflow上也没有解决方案,答案推荐使用TestRestTemplate+真实的服务器环境进行单元测试。
将webEnvironment配置为SpringBootTest.WebEnvironment.RANDOM_PORT,即表示当前测试在一个随机端口的真实Web环境下运行。
@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
class AuthControllerTest {
@Autowired
private TestRestTemplate restTemplate;
}
测试时使用TestRestTemplate进行网络请求的发送,真实模拟Web服务器环境。
示例代码如下:
logger.debug("3: 测试用户名密码正确");
username = RIGHT_USERNAME;
password = RIGHT_PASSWORD;
response = this.restTemplate
.withBasicAuth(username, password)
.getForEntity(CONFIG_LOGIN, Void.class);
logger.debug("断言: 状态码为200");
assertThat(response.getStatusCode().value()).isEqualTo(HttpStatus.OK.value());
logger.debug("获取 response 的 Set-Cookie 信息,并断言");
String setCookie = response.getHeaders().getFirst(HttpHeaders.SET_COOKIE);
assertThat(setCookie).isNotNull();
总结
两个各有优点,之前我们一直使用简单方便的Mock环境进行测试,但当我们有一天,发现这个Mock环境测试下的MockHttpSession无法满足需求的时候,我们开始探索其他的测试方案。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。
相关推荐
-
详解使用Spring Security进行自动登录验证
在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法 中,我们描述了如何配置一个基于SpringMVC.SpringSecurity框架的网站系统.在这篇博客中,我们将继续描述如何使用Spring Security进行登录验证. 总结一下Spring Security的登录验证关键步骤: 1.在数据库中建好三张表,即users.authorities和persistent_logins三个.注意字段的定义,不能少,可以多,名字必须按规定来.
-
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
最近在项目中遇到了这样一个问题:前后端分离,前端用Vue来做,所有的数据请求都使用vue-resource,没有使用表单,因此数据交互都是使用JSON,后台使用Spring Boot,权限验证使用了Spring Security,因为之前用Spring Security都是处理页面的,这次单纯处理Ajax请求,因此记录下遇到的一些问题.这里的解决方案不仅适用于Ajax请求,也可以解决移动端请求验证. 创建工程 首先我们需要创建一个Spring Boot工程,创建时需要引入Web.Spring S
-
详解使用Spring Security OAuth 实现OAuth 2.0 授权
OAuth 2.0 是一种工业级的授权协议.OAuth 2.0是从创建于2006年的OAuth 1.0继承而来的.OAuth 2.0致力于帮助开发者简化授权并为web应用.桌面应用.移动应用.嵌入式应用提供具体的授权流程. OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 supersedes the work done on the original OAuth protocol created i
-
spring security 5.x实现兼容多种密码的加密方式
前言 本文主要给大家介绍了关于spring security 5.x实现兼容多种密码的加密方式,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧. 1.spring security PasswordEncoder spring security 5不需要配置密码的加密方式,而是用户密码加前缀的方式表明加密方式,如: {MD5}88e2d8cd1e92fd5544c8621508cd706b代表使用的是MD5加密方式: {bcrypt}$2a$10$eZeGvVV2ZXr/vgiV
-
Spring Boot中整合Spring Security并自定义验证代码实例
最终效果 1.实现页面访问权限限制 2.用户角色区分,并按照角色区分页面权限 3.实现在数据库中存储用户信息以及角色信息 4.自定义验证代码 效果如下: 1.免验证页面 2.登陆页面 在用户未登录时,访问任意有权限要求的页面都会自动跳转到登陆页面. 3.需登陆才能查看的页面 用户登陆后,可以正常访问页面资源,同时可以正确显示用户登录名: 4.用户有角色区分,可以指定部分页面只允许有相应用户角色的人使用 4.1.只有ADMIN觉得用户才能查看的页面(权限不足) 4.2.只有ADMIN觉得用户才能查
-
spring security自定义认证登录的全过程记录
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为: 1.不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo: 2.使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差: 3.spring security和Acegi不同,它不能修改默认filter了,但支持插入filter,所以根据这个,我们可以插入自己的f
-
详解如何在spring boot中使用spring security防止CSRF攻击
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF. CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求.CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全. CSRF漏洞现状 CSRF这种攻击方式
-
Spring Security OAuth2集成短信验证码登录以及第三方登录
前言 基于SpringCloud做微服务架构分布式系统时,OAuth2.0作为认证的业内标准,Spring Security OAuth2也提供了全套的解决方案来支持在Spring Cloud/Spring Boot环境下使用OAuth2.0,提供了开箱即用的组件.但是在开发过程中我们会发现由于Spring Security OAuth2的组件特别全面,这样就导致了扩展很不方便或者说是不太容易直指定扩展的方案,例如: 图片验证码登录 短信验证码登录 微信小程序登录 第三方系统登录 CAS单点登录
-
Java中SpringSecurity密码错误5次锁定用户的实现方法
Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作. 下面看下实例代码: 第
-
SpringBoot + Spring Security 基本使用及个性化登录配置详解
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式 <dependencies> ... <dependency> <groupI
-
Spring security实现登陆和权限角色控制
随笔简介 1.spring版本:4.3.2.RELEASE+spring security 版本:4.1.2.RELEASE(其它不做说明) 2.所展示内容全部用注解配置 3.springmvc已经配置好,不作说明 4.会涉及到springmvc,spel,el的东西,不熟悉的同学可以先去看一下这方面内容,特别是springmvc 首先想一下,登陆需要什么,最简单的情况下,用户名,密码,然后比对数据库,如果吻合就跳转到个人页面,否则回到登陆页面,并且提示用户名密码错误.这个过程中应该还带有权限