对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cn

测试方法安全性

本节演示如何使用 Spring Security 的 Test 支持来测试基于方法的安全性。 我们首先介绍 a 要求用户进行身份验证才能访问它。MessageServicespring-doc.cn

public class HelloMessageService implements MessageService {

	@PreAuthorize("authenticated")
	public String getMessage() {
		Authentication authentication = SecurityContextHolder.getContext()
			.getAuthentication();
		return "Hello " + authentication;
	}
}
class HelloMessageService : MessageService {
    @PreAuthorize("authenticated")
    fun getMessage(): String {
        val authentication: Authentication = SecurityContextHolder.getContext().authentication
        return "Hello $authentication"
    }
}

的结果是向当前 Spring Security 说 “Hello” 的 String 。 输出示例如下所示。getMessageAuthenticationspring-doc.cn

Hello org.springframework.security.authentication.UsernamePasswordAuthenticationToken@ca25360: Principal: org.springframework.security.core.userdetails.User@36ebcb: Username: user; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_USER; Credentials: [PROTECTED]; Authenticated: true; Details: null; Granted Authorities: ROLE_USER

安全测试设置

在使用 Spring Security Test 支持之前,我们必须执行一些设置。示例如下所示:spring-doc.cn

@ExtendWith(SpringExtension.class) (1)
@ContextConfiguration (2)
public class WithMockUserTests {
@ExtendWith(SpringExtension.class)
@ContextConfiguration
class WithMockUserTests {

这是如何设置 Spring Security Test 的基本示例。亮点是:spring-doc.cn

1 @ExtendWith指示 spring-test 模块应创建一个 .有关更多信息,请参阅 Spring 参考ApplicationContext
2 @ContextConfiguration指示 spring-test 用于创建 .由于未指定配置,因此将尝试默认配置位置。这与使用现有的 Spring Test 支持没有什么不同。有关更多信息,请参阅 Spring 参考ApplicationContext
Spring Security 使用 连接到 Spring Test 支持,这将确保我们的测试由正确的用户运行。 它通过在运行测试之前填充 来实现此目的。 如果您使用的是反应式方法安全性,则还需要 which populates 。 测试完成后,它将清除 . 如果只需要 Spring Security 相关支持,可以用 .WithSecurityContextTestExecutionListenerSecurityContextHolderReactorContextTestExecutionListenerReactiveSecurityContextHolderSecurityContextHolder@ContextConfiguration@SecurityTestExecutionListeners

请记住,我们将 annotation 添加到我们的 Comments,因此它需要经过身份验证的用户来调用它。 如果我们运行以下测试,我们预期以下测试将通过:@PreAuthorizeHelloMessageServicespring-doc.cn

@Test(expected = AuthenticationCredentialsNotFoundException.class)
public void getMessageUnauthenticated() {
	messageService.getMessage();
}
@Test(expected = AuthenticationCredentialsNotFoundException::class)
fun getMessageUnauthenticated() {
    messageService.getMessage()
}

@WithMockUser

问题是“我们如何才能最轻松地以特定用户身份运行测试? 答案是使用 。 以下测试将以用户名为 “user”、密码 “password” 和角色 “ROLE_USER” 的用户身份运行。@WithMockUserspring-doc.cn

@Test
@WithMockUser
public void getMessageWithMockUser() {
String message = messageService.getMessage();
...
}
@Test
@WithMockUser
fun getMessageWithMockUser() {
    val message: String = messageService.getMessage()
    // ...
}

具体来说,以下内容是正确的:spring-doc.cn

  • 用户名为 “user” 的用户不必存在,因为我们正在模拟用户spring-doc.cn

  • 在 is 类型中填充的AuthenticationSecurityContextUsernamePasswordAuthenticationTokenspring-doc.cn

  • 上的 principal 是 Spring Security 的对象AuthenticationUserspring-doc.cn

  • 将具有用户名 “user”,密码 “password”,并使用名为 “ROLE_USER” 的单体。UserGrantedAuthorityspring-doc.cn

我们的示例很好,因为我们能够利用大量默认值。 如果我们想使用不同的用户名运行测试怎么办? 以下测试将使用用户名 “customUser” 运行。同样,用户不需要实际存在。spring-doc.cn

@Test
@WithMockUser("customUsername")
public void getMessageWithMockUserCustomUsername() {
	String message = messageService.getMessage();
...
}
@Test
@WithMockUser("customUsername")
fun getMessageWithMockUserCustomUsername() {
    val message: String = messageService.getMessage()
    // ...
}

我们还可以轻松自定义角色。 例如,将使用用户名“admin”和角色“ROLE_USER”和“ROLE_ADMIN”调用此测试。spring-doc.cn

@Test
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public void getMessageWithMockUserCustomUser() {
	String message = messageService.getMessage();
	...
}
@Test
@WithMockUser(username="admin",roles=["USER","ADMIN"])
fun getMessageWithMockUserCustomUser() {
    val message: String = messageService.getMessage()
    // ...
}

如果我们不希望该值自动以 ROLE_ 为前缀,我们可以利用 authorities 属性。 例如,将使用用户名 “admin” 和权限 “USER” 和 “ADMIN” 调用此测试。spring-doc.cn

@Test
@WithMockUser(username = "admin", authorities = { "ADMIN", "USER" })
public void getMessageWithMockUserCustomAuthorities() {
	String message = messageService.getMessage();
	...
}
@Test
@WithMockUser(username = "admin", authorities = ["ADMIN", "USER"])
fun getMessageWithMockUserCustomUsername() {
    val message: String = messageService.getMessage()
    // ...
}

当然,将 annotation 放在每个测试方法上可能有点乏味。 相反,我们可以将 Comments 放在 class 级别,并且每个测试都将使用指定的 user。 例如,以下代码将使用用户名为 “admin”、密码为 “password” 以及角色 “ROLE_USER” 和 “ROLE_ADMIN” 的用户运行每个测试。spring-doc.cn

@ExtendWith(SpringExtension.class)
@ContextConfiguration
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public class WithMockUserTests {
@ExtendWith(SpringExtension.class)
@ContextConfiguration
@WithMockUser(username="admin",roles=["USER","ADMIN"])
class WithMockUserTests {

如果您使用的是 JUnit 5 的测试支持,您还可以将 Comments 放在封闭类上以应用于所有嵌套类。 例如,对于这两种测试方法,以下代码将使用用户名为 “admin”、密码 “password” 以及角色 “ROLE_USER” 和 “ROLE_ADMIN” 的用户运行每个测试。@Nestedspring-doc.cn

@ExtendWith(SpringExtension.class)
@ContextConfiguration
@WithMockUser(username="admin",roles={"USER","ADMIN"})
public class WithMockUserTests {

	@Nested
	public class TestSuite1 {
		// ... all test methods use admin user
	}

	@Nested
	public class TestSuite2 {
		// ... all test methods use admin user
	}
}
@ExtendWith(SpringExtension::class)
@ContextConfiguration
@WithMockUser(username = "admin", roles = ["USER", "ADMIN"])
class WithMockUserTests {
    @Nested
    inner class TestSuite1 { // ... all test methods use admin user
    }

    @Nested
    inner class TestSuite2 { // ... all test methods use admin user
    }
}

默认情况下,在活动期间设置。 这相当于发生在 JUnit 的 . 您可以将此更改更改为在 JUnit 之后但在调用测试方法之前的事件期间发生。SecurityContextTestExecutionListener.beforeTestMethod@BeforeTestExecutionListener.beforeTestExecution@Beforespring-doc.cn

@WithMockUser(setupBefore = TestExecutionEvent.TEST_EXECUTION)

@WithAnonymousUser

使用允许以匿名用户身份运行。 当您希望使用特定用户运行大多数测试,但希望以匿名用户身份运行一些测试时,这尤其方便。 例如,以下代码将使用 @WithMockUser 和 anonymous 作为匿名用户运行 withMockUser1 和 withMockUser2。@WithAnonymousUserspring-doc.cn

@ExtendWith(SpringExtension.class)
@WithMockUser
public class WithUserClassLevelAuthenticationTests {

	@Test
	public void withMockUser1() {
	}

	@Test
	public void withMockUser2() {
	}

	@Test
	@WithAnonymousUser
	public void anonymous() throws Exception {
		// override default to run as anonymous user
	}
}
@ExtendWith(SpringExtension.class)
@WithMockUser
class WithUserClassLevelAuthenticationTests {
    @Test
    fun withMockUser1() {
    }

    @Test
    fun withMockUser2() {
    }

    @Test
    @WithAnonymousUser
    fun anonymous() {
        // override default to run as anonymous user
    }
}

默认情况下,在活动期间设置。 这相当于发生在 JUnit 的 . 您可以将此更改更改为在 JUnit 之后但在调用测试方法之前的事件期间发生。SecurityContextTestExecutionListener.beforeTestMethod@BeforeTestExecutionListener.beforeTestExecution@Beforespring-doc.cn

@WithAnonymousUser(setupBefore = TestExecutionEvent.TEST_EXECUTION)

@WithUserDetails

虽然这是一种非常方便的入门方式,但并非在所有情况下都有效。 例如,应用程序通常期望主体是特定类型。 这样做是为了让应用程序可以将主体引用为自定义类型并减少对 Spring Security 的耦合。@WithMockUserAuthenticationspring-doc.cn

自定义主体通常由自定义返回,该自定义返回实现两者和自定义类型的对象。 对于此类情况,使用自定义 创建测试用户非常有用。 这正是事实。UserDetailsServiceUserDetailsUserDetailsService@WithUserDetailsspring-doc.cn

假设我们有一个公开的 bean,以下测试将使用 type 和 principal(从 返回)调用,该 bean 的用户名为 “user”。UserDetailsServiceAuthenticationUsernamePasswordAuthenticationTokenUserDetailsServicespring-doc.cn

@Test
@WithUserDetails
public void getMessageWithUserDetails() {
	String message = messageService.getMessage();
	...
}
@Test
@WithUserDetails
fun getMessageWithUserDetails() {
    val message: String = messageService.getMessage()
    // ...
}

我们还可以自定义用于从我们的 . 例如,此测试将使用从 返回的用户名为“customUsername”的委托人运行。UserDetailsServiceUserDetailsServicespring-doc.cn

@Test
@WithUserDetails("customUsername")
public void getMessageWithUserDetailsCustomUsername() {
	String message = messageService.getMessage();
	...
}
@Test
@WithUserDetails("customUsername")
fun getMessageWithUserDetailsCustomUsername() {
    val message: String = messageService.getMessage()
    // ...
}

我们还可以提供一个显式的 bean 名称来查找 . 例如,此测试将使用 bean 名称为 “myUserDetailsService” 的 查找 “customUsername” 的用户名。UserDetailsServiceUserDetailsServicespring-doc.cn

@Test
@WithUserDetails(value="customUsername", userDetailsServiceBeanName="myUserDetailsService")
public void getMessageWithUserDetailsServiceBeanName() {
	String message = messageService.getMessage();
	...
}
@Test
@WithUserDetails(value="customUsername", userDetailsServiceBeanName="myUserDetailsService")
fun getMessageWithUserDetailsServiceBeanName() {
    val message: String = messageService.getMessage()
    // ...
}

就像,我们也可以将我们的注解放在类级别,这样每个测试都使用相同的用户。 但是,与 不同的是,需要用户存在。@WithMockUser@WithMockUser@WithUserDetailsspring-doc.cn

默认情况下,在活动期间设置。 这相当于发生在 JUnit 的 . 您可以将此更改更改为在 JUnit 之后但在调用测试方法之前的事件期间发生。SecurityContextTestExecutionListener.beforeTestMethod@BeforeTestExecutionListener.beforeTestExecution@Beforespring-doc.cn

@WithUserDetails(setupBefore = TestExecutionEvent.TEST_EXECUTION)

@WithSecurityContext

我们已经看到,如果我们不使用自定义主体,这是一个很好的选择。 接下来,我们发现这将允许我们使用自定义来创建我们的主体,但需要用户存在。 我们现在将看到一个允许最大灵活性的选项。@WithMockUserAuthentication@WithUserDetailsUserDetailsServiceAuthenticationspring-doc.cn

我们可以创建自己的 Annotation,使用 来创建我们想要的任何 Comments。 例如,我们可以创建一个如下所示的注释:@WithSecurityContextSecurityContext@WithMockCustomUserspring-doc.cn

@Retention(RetentionPolicy.RUNTIME)
@WithSecurityContext(factory = WithMockCustomUserSecurityContextFactory.class)
public @interface WithMockCustomUser {

	String username() default "rob";

	String name() default "Rob Winch";
}
@Retention(AnnotationRetention.RUNTIME)
@WithSecurityContext(factory = WithMockCustomUserSecurityContextFactory::class)
annotation class WithMockCustomUser(val username: String = "rob", val name: String = "Rob Winch")

你可以看到 它用 annotation 进行了注释。 这就是向 Spring Security Test 支持发出的信号,表明我们打算为测试创建一个。 注释要求我们指定一个,它将创建一个新的给定注释。 您可以在下面找到我们的实施:@WithMockCustomUser@WithSecurityContextSecurityContext@WithSecurityContextSecurityContextFactorySecurityContext@WithMockCustomUserWithMockCustomUserSecurityContextFactoryspring-doc.cn

public class WithMockCustomUserSecurityContextFactory
	implements WithSecurityContextFactory<WithMockCustomUser> {
	@Override
	public SecurityContext createSecurityContext(WithMockCustomUser customUser) {
		SecurityContext context = SecurityContextHolder.createEmptyContext();

		CustomUserDetails principal =
			new CustomUserDetails(customUser.name(), customUser.username());
		Authentication auth =
			UsernamePasswordAuthenticationToken.authenticated(principal, "password", principal.getAuthorities());
		context.setAuthentication(auth);
		return context;
	}
}
class WithMockCustomUserSecurityContextFactory : WithSecurityContextFactory<WithMockCustomUser> {
    override fun createSecurityContext(customUser: WithMockCustomUser): SecurityContext {
        val context = SecurityContextHolder.createEmptyContext()
        val principal = CustomUserDetails(customUser.name, customUser.username)
        val auth: Authentication =
            UsernamePasswordAuthenticationToken(principal, "password", principal.authorities)
        context.authentication = auth
        return context
    }
}

我们现在可以使用新的注释来注释测试类或测试方法,而 Spring Security 的注释将确保我们的注释被正确填充。WithSecurityContextTestExecutionListenerSecurityContextspring-doc.cn

在创建自己的实现时,很高兴知道它们可以使用标准 Spring Comments 进行 Comments。 例如,使用注释获取 :WithSecurityContextFactoryWithUserDetailsSecurityContextFactory@AutowiredUserDetailsServicespring-doc.cn

final class WithUserDetailsSecurityContextFactory
	implements WithSecurityContextFactory<WithUserDetails> {

	private UserDetailsService userDetailsService;

	@Autowired
	public WithUserDetailsSecurityContextFactory(UserDetailsService userDetailsService) {
		this.userDetailsService = userDetailsService;
	}

	public SecurityContext createSecurityContext(WithUserDetails withUser) {
		String username = withUser.value();
		Assert.hasLength(username, "value() must be non-empty String");
		UserDetails principal = userDetailsService.loadUserByUsername(username);
		Authentication authentication = UsernamePasswordAuthenticationToken.authenticated(principal, principal.getPassword(), principal.getAuthorities());
		SecurityContext context = SecurityContextHolder.createEmptyContext();
		context.setAuthentication(authentication);
		return context;
	}
}
class WithUserDetailsSecurityContextFactory @Autowired constructor(private val userDetailsService: UserDetailsService) :
    WithSecurityContextFactory<WithUserDetails> {
    override fun createSecurityContext(withUser: WithUserDetails): SecurityContext {
        val username: String = withUser.value
        Assert.hasLength(username, "value() must be non-empty String")
        val principal = userDetailsService.loadUserByUsername(username)
        val authentication: Authentication =
            UsernamePasswordAuthenticationToken(principal, principal.password, principal.authorities)
        val context = SecurityContextHolder.createEmptyContext()
        context.authentication = authentication
        return context
    }
}

默认情况下,在活动期间设置。 这相当于发生在 JUnit 的 . 您可以将此更改更改为在 JUnit 之后但在调用测试方法之前的事件期间发生。SecurityContextTestExecutionListener.beforeTestMethod@BeforeTestExecutionListener.beforeTestExecution@Beforespring-doc.cn

@WithSecurityContext(setupBefore = TestExecutionEvent.TEST_EXECUTION)

测试 Meta 注释

如果您经常在测试中重复使用同一用户,则必须重复指定属性并不理想。 例如,如果有许多测试与用户名为 “admin” 和 roles 的管理用户相关,则必须编写:ROLE_USERROLE_ADMINspring-doc.cn

@WithMockUser(username="admin",roles={"USER","ADMIN"})
@WithMockUser(username="admin",roles=["USER","ADMIN"])

与其到处重复此操作,不如使用 meta 注解。 例如,我们可以创建一个名为 :WithMockAdminspring-doc.cn

@Retention(RetentionPolicy.RUNTIME)
@WithMockUser(value="rob",roles="ADMIN")
public @interface WithMockAdmin { }
@Retention(AnnotationRetention.RUNTIME)
@WithMockUser(value = "rob", roles = ["ADMIN"])
annotation class WithMockAdmin

现在我们可以像 更详细 一样使用 .@WithMockAdmin@WithMockUserspring-doc.cn

Meta 注解适用于上述任何测试注解。 例如,这意味着我们也可以为@WithUserDetails("admin")spring-doc.cn