Spring Test＆Security：認証を模擬する方法は？

答えを探す同時に簡単で柔軟なものを見つけることができなかったので、 Spring Security Reference を見つけ、完璧なソリューションに近いことに気付きました。多くの場合、AOPソリューションはテストに最適なソリューションであり、Springはこのアーティファクトで@WithMockUser、@WithUserDetails、および@WithSecurityContextを提供しています。

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-test</artifactId>
    <version>4.2.2.RELEASE</version>
    <scope>test</scope>
</dependency>

ほとんどの場合、@WithUserDetailsは必要な柔軟性とパワーを収集します。

@WithUserDetailsの仕組み

基本的に、テストする可能性のあるすべてのユーザープロファイルを含むカスタムUserDetailsServicename__を作成する必要があります。例えば

@TestConfiguration
public class SpringSecurityWebAuxTestConfig {

    @Bean
    @Primary
    public UserDetailsService userDetailsService() {
        User basicUser = new UserImpl("Basic User", "[email protected]", "password");
        UserActive basicActiveUser = new UserActive(basicUser, Arrays.asList(
                new SimpleGrantedAuthority("ROLE_USER"),
                new SimpleGrantedAuthority("PERM_FOO_READ")
        ));

        User managerUser = new UserImpl("Manager User", "[email protected]", "password");
        UserActive managerActiveUser = new UserActive(managerUser, Arrays.asList(
                new SimpleGrantedAuthority("ROLE_MANAGER"),
                new SimpleGrantedAuthority("PERM_FOO_READ"),
                new SimpleGrantedAuthority("PERM_FOO_WRITE"),
                new SimpleGrantedAuthority("PERM_FOO_MANAGE")
        ));

        return new InMemoryUserDetailsManager(Arrays.asList(
                basicActiveUser, managerActiveUser
        ));
    }
}

これでユーザーの準備ができたので、このコントローラー関数へのアクセス制御をテストしたいと想像してください。

@RestController
@RequestMapping("/foo")
public class FooController {

    @Secured("ROLE_MANAGER")
    @GetMapping("/salute")
    public String saluteYourManager(@AuthenticationPrincipal User activeUser)
    {
        return String.format("Hi %s. Foo salutes you!", activeUser.getUsername());
    }
}

ここには、ルートへのマップされた関数の取得/ foo/saluteがあり、@Securedでロールベースのセキュリティをテストしていますただし、@PreAuthorizeおよび@PostAuthorizeもテストできます。有効なユーザーがこの敬礼応答を表示できるかどうかを確認するテストと、実際に禁止されているかどうかを確認するテストの2つのテストを作成しましょう。

@RunWith(SpringRunner.class)
@SpringBootTest(
        webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT,
        classes = SpringSecurityWebAuxTestConfig.class
)
@AutoConfigureMockMvc
public class WebApplicationSecurityTest {

    @Autowired
    private MockMvc mockMvc;

    @Test
    @WithUserDetails("[email protected]")
    public void givenManagerUser_whenGetFooSalute_thenOk() throws Exception
    {
        mockMvc.perform(MockMvcRequestBuilders.get("/foo/salute")
                .accept(MediaType.ALL))
                .andExpect(status().isOk())
                .andExpect(content().string(containsString("[email protected]")));
    }

    @Test
    @WithUserDetails("[email protected]")
    public void givenBasicUser_whenGetFooSalute_thenForbidden() throws Exception
    {
        mockMvc.perform(MockMvcRequestBuilders.get("/foo/salute")
                .accept(MediaType.ALL))
                .andExpect(status().isForbidden());
    }
}

ご覧のとおり、テストのためにユーザーに提供するためにSpringSecurityWebAuxTestConfigname__をインポートしました。単純なアノテーションを使用するだけで、それぞれが対応するテストケースで使用され、コードと複雑さが軽減されます。

ロールベースのセキュリティをよりシンプルにするために@WithMockUserをより適切に使用する

ご覧のとおり、@WithUserDetailsは、ほとんどのアプリケーションに必要な柔軟性をすべて備えています。ロールや権限など、GrantedAuthorityを持つカスタムユーザーを使用できます。ただし、ロールを使用するだけの場合、テストはさらに簡単になり、カスタムUserDetailsServicename__の作成を避けることができます。そのような場合、 @ WithMockUser を使用して、ユーザー、パスワード、およびロールの単純な組み合わせを指定します。

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
@WithSecurityContext(
    factory = WithMockUserSecurityContextFactory.class
)
public @interface WithMockUser {
    String value() default "user";

    String username() default "";

    String[] roles() default {"USER"};

    String password() default "password";
}

注釈は、非常に基本的なユーザーのデフォルト値を定義します。私たちの場合、テストしているルートは認証されたユーザーがマネージャーである必要があるだけなので、SpringSecurityWebAuxTestConfigname__を使用して終了し、これを行うことができます。

@Test
@WithMockUser(roles = "MANAGER")
public void givenManagerUser_whenGetFooSalute_thenOk() throws Exception
{
    mockMvc.perform(MockMvcRequestBuilders.get("/foo/salute")
            .accept(MediaType.ALL))
            .andExpect(status().isOk())
            .andExpect(content().string(containsString("user")));
}

ユーザー[email protected]の代わりに、@WithMockUserが提供するデフォルトを取得していることに注意してください：user;しかし、私たちが本当に気にしているのは彼の役割ROLE_MANAGERなので、それは重要ではありません。

結論

@WithUserDetailsや@WithMockUserなどのアノテーションを見るとわかるように、単純なテストを行うためだけに、アーキテクチャから疎外されたクラスを構築せずに異なる認証ユーザーシナリオを切り替えるを実行できます。また、柔軟性を高めるために @ WithSecurityContext がどのように機能するかを確認することもお勧めします。

Spring 4.0以降、最良の解決策は@WithMockUserでテストメソッドに注釈を付けることです。

@Test
@WithMockUser(username = "user1", password = "pwd", roles = "USER")
public void mytest1() throws Exception {
    mockMvc.perform(get("/someApi"))
        .andExpect(status().isOk());
}

次の依存関係をプロジェクトに追加することを忘れないでください

'org.springframework.security:spring-security-test:4.2.3.RELEASE'

Pom.xmlに追加します。

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-test</artifactId>
        <version>4.0.0.RC2</version>
    </dependency>

そして、承認要求にorg.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessorsを使用します。 https://github.com/rwinch/spring-security-test-blog （ ）の使用例を参照してくださいhttps://jira.spring.io/browse/SEC-2592 ）。

更新：

4.0.0.RC2は、spring-security 3.xで機能します。 spring-security 4の場合、spring-security-testはspring-securityの一部になります（ http://docs.spring.io/spring-security/site/docs/4.0.x/reference/ htmlsingle /＃test 、バージョンは同じです）。

セットアップが変更されました： http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#test-mockmvc

public void setup() {
    mvc = MockMvcBuilders
            .webAppContextSetup(context)
            .apply(springSecurity())  
            .build();
}

基本認証のサンプル： http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#testing-http-basic-authentication 。

Base64基本認証を使用してSpring MockMvc Security Configをテストする場合の例は次のとおりです。

String basicDigestHeaderValue = "Basic " + new String(Base64.encodeBase64(("<username>:<password>").getBytes()));
this.mockMvc.perform(get("</get/url>").header("Authorization", basicDigestHeaderValue).accept(MediaType.APPLICATION_JSON)).andExpect(status().isOk());

Mavenの依存関係

    <dependency>
        <groupId>commons-codec</groupId>
        <artifactId>commons-codec</artifactId>
        <version>1.3</version>
    </dependency>

短い答え：

@Autowired
private WebApplicationContext webApplicationContext;

@Autowired
private Filter springSecurityFilterChain;

@Before
public void setUp() throws Exception {
    final MockHttpServletRequestBuilder defaultRequestBuilder = get("/dummy-path");
    this.mockMvc = MockMvcBuilders.webAppContextSetup(this.webApplicationContext)
            .defaultRequest(defaultRequestBuilder)
            .alwaysDo(result -> setSessionBackOnRequestBuilder(defaultRequestBuilder, result.getRequest()))
            .apply(springSecurity(springSecurityFilterChain))
            .build();
}

private MockHttpServletRequest setSessionBackOnRequestBuilder(final MockHttpServletRequestBuilder requestBuilder,
                                                             final MockHttpServletRequest request) {
    requestBuilder.session((MockHttpSession) request.getSession());
    return request;
}

春のセキュリティテストからformLoginを実行すると、ログインしたユーザーとして各リクエストが自動的に呼び出されます。

長答：

この解決策を確認してください（答えはSpring 4向けです）： Spring 3.2の新しいmvcテストでユーザーをログインする方法

テストでSecurityContextHolderを使用しないようにするオプション：

• オプション1：モックを使用-モックライブラリを使用してモックSecurityContextHolderを意味する-EasyMockたとえば
• オプション2：いくつかのサービスのコードでSecurityContextHolder.get...呼び出しをラップします-たとえば、SecurityServiceImplインターフェースを実装するメソッドgetCurrentPrincipalを使用したSecurityServiceで、テストで目的のプリンシパルを返すこのインターフェースのモック実装を簡単に作成できますSecurityContextHolderへのアクセスなし。