Среда. У меня есть приложение с микросервисной архитектурой на основе весенней загрузки, состоящее из нескольких инфраструктурных сервисов и ресурсных сервисов (содержащих бизнес-логику). Авторизацией и аутентификацией занимается служба oAuth2, управляющая объектами пользователей и создающая токены JWT для клиентов.
Чтобы полностью протестировать одно микросервисное приложение, я попытался создать тесты с помощью testNG, spring.boot.test, org.springframework.security.test ...
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.MOCK, properties = {"spring.cloud.discovery.enabled=false", "spring.cloud.config.enabled=false", "spring.profiles.active=test"})
@AutoConfigureMockMvc
@Test
public class ArtistControllerTest extends AbstractTestNGSpringContextTests {
@Autowired
private MockMvc mvc;
@BeforeClass
@Transactional
public void setUp() {
// nothing to do
}
@AfterClass
@Transactional
public void tearDown() {
// nothing to do here
}
@Test
@WithMockUser(authorities = {"READ", "WRITE"})
public void getAllTest() throws Exception {
// EXPECT HTTP STATUS 200
// BUT GET 401
this.mvc.perform(get("/")
.accept(MediaType.APPLICATION_JSON))
.andExpect(status().isOk())
}
}
где конфигурация безопасности (сервера ресурсов) следующая
@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
// get the configured token store
@Autowired
TokenStore tokenStore;
// get the configured token converter
@Autowired
JwtAccessTokenConverter tokenConverter;
/**
* !!! configuration of springs http security !!!
*/
@Override
public void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.antMatchers("/**").authenticated();
}
/**
* configuration of springs resource server security
*/
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
// set the configured tokenStore to this resourceServer
resources.resourceId("artist").tokenStore(tokenStore);
}
}
и следующая проверка безопасности на основе метода, аннотированная внутри класса контроллера
@PreAuthorize("hasAuthority('READ')")
@RequestMapping(value = "/", method = RequestMethod.GET)
public List<Foo> getAll(Principal user) {
List<Foo> foos = fooRepository.findAll();
return foos;
}
Я думал, что это сработает, но при запуске теста я получаю только ошибку утверждения
java.lang.AssertionError: Status
Expected :200
Actual :401
Вопрос. Есть ли что-то совершенно очевидное, что я делаю неправильно? Или @WithMockUser не будет работать с @SpringBootTest и @AutoConfigureMockMvc в среде oAuth2? Если это так... каков наилучший подход для тестирования конфигураций безопасности на основе маршрутов и методов в рамках такого (интеграционного) теста, как этот?
Приложение: я также пробовал разные подходы, например, что-то вроде следующего... но это привело к тому же результату :(
this.mvc.perform(get("/")
.with(user("admin").roles("READ","WRITE").authorities(() -> "READ", () -> "WRITE"))
.accept(MediaType.APPLICATION_JSON))
см.:
весеннее тестирование безопасности
тестирование весенней загрузки 1.4