简单测试 Spring Boot 安全性

2024-03-14

我正在努力测试受 Spring Security 保护的 URL 的访问控制。

配置如下：

    http
            .authorizeRequests()
            .antMatchers("/api/user/**", "/user").authenticated()
            .antMatchers("/api/admin/**", "/templates/admin/**", "/admin/**").hasAuthority("ADMIN")
            .anyRequest().permitAll();

测试类如下所示：

package com.kubukoz.myapp;

import com.kubukoz.myapp.config.WebSecurityConfig;
import org.junit.Before;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.SpringApplicationConfiguration;
import org.springframework.security.web.FilterChainProxy;
import org.springframework.test.context.ActiveProfiles;
import org.springframework.test.context.junit4.SpringJUnit4ClassRunner;
import org.springframework.test.context.transaction.TransactionConfiguration;
import org.springframework.test.context.web.WebAppConfiguration;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.springframework.web.context.WebApplicationContext;

import javax.transaction.Transactional;

import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;


@RunWith(SpringJUnit4ClassRunner.class)
@SpringApplicationConfiguration(classes = {MyApplication.class, WebSecurityConfig.class})
@WebAppConfiguration
@TransactionConfiguration(defaultRollback = true)
@Transactional(rollbackOn = Exception.class)
public class MyApplicationTests {

    @Autowired
    private WebApplicationContext context;
    private MockMvc mockMvc;
    @Autowired
    private FilterChainProxy filterChainProxy;

    @Before
    public void setUp() {
        mockMvc = MockMvcBuilders.webAppContextSetup(context)
                .dispatchOptions(true)
                .addFilters(filterChainProxy)
                .build();
    }

    @Test
    public void testAnonymous() throws Exception {
        mockMvc.perform(get("/api/user/account")).andExpect(status().is3xxRedirection());
    }

    @Test
    public void testUserAccessForAccount() throws Exception{
        mockMvc.perform(get("/api/user/account")).andExpect(status().isOk());
    }
}

让最后两个测试通过的最简单方法是什么？ @WithMockUser 不起作用。

您不应该直接添加 FilterChainProxy。相反，您应该申请SecurityMockMvcConfigurers.springSecurity()如所示参考资料 http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#test-mockmvc-setup。下面包含一个示例：

mockMvc = MockMvcBuilders
            .webAppContextSetup(context)
            .apply(springSecurity())
            .build();

结果是：

the FilterChainProxy添加为Filter to MockMvc（正如你所做的那样）
the TestSecurityContextHolderPostProcessor被添加

Why is TestSecurityContextHolderPostProcessor必要的？原因是我们需要将当前用户从测试方法传达给MockHttpServletRequest即被创建。这是必要的，因为 Spring Security 的SecurityContextRepositoryFilter将覆盖任何值SecurityContextHolder是当前找到的值SecurityContextRepository（即SecurityContext in HttpSession).

Update

请记住，方法名称中包含角色的任何内容都会自动为传入的字符串添加前缀“ROLE_”。

根据您的评论，问题是您需要更新配置以使用 hasRole 而不是 hasAuthority （因为您的注释正在使用角色）：

.authorizeRequests()
            .antMatchers("/api/user/**", "/user").authenticated()
            .antMatchers("/api/admin/**", "/templates/admin/**", "/admin/**").hasRole("ADMIN")
            .anyRequest().permitAll();

或者

在 Spring Security 4.0.2+ 中，您可以使用：

@WithMockUser(authorities="ADMIN")

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

简单测试 Spring Boot 安全性的相关文章

Spring AspectJ 在双代理接口时失败：无法生成类的 CGLIB 子类

我正在使用Spring的
如何获取之前的URL？

我需要调用我的网络应用程序的 URL 例如如果有一个从 stackoverflow com 到我的网站 foo com 的链接我需要 Web 应用程序托管 bean 中的 stackoverflow 链接感谢所有帮助谢谢并不总是
jQuery AJAX 调用 Java 方法

使用 jQuery AJAX 我们可以调用特定的 JAVA 方法例如从 Action 类该 Java 方法返回的数据将用于填充一些 HTML 代码请告诉我是否可以使用 jQuery 轻松完成此操作就像在 DWR 中一样此外对于
如何更改javaFX中按钮的图像？

我正在使用javaFX 我制作了一个按钮并为此设置了图像代码是 Image playI new Image file c Users Farhad Desktop icons play2 jpg ImageView iv1 new Ima
来自 dll 的 Java 调用函数

我有这个 python 脚本导入zkemkeeperdll 并连接到考勤设备 ZKTeco 这是我正在使用的脚本 from win32com client import Dispatch zk Dispatch zkemkeeper ZKE
Java 公历日历更改时区

我正在尝试设置 HOUR OF DAY 字段并更改 GregorianCalendar 日期对象的时区 GregorianCalendar date new GregorianCalendar TimeZone getTimeZone GM
检测并缩短字符串中的所有网址

假设我有一条字符串消息您应该将 file zip 上传到http google com extremelylonglink zip http google com extremelylonglink zip not https stack
将 MOXy 设置为 JAXB 提供程序，而在同一包中没有属性文件

我正在尝试使用 MOXy 作为我的 JAXB 提供程序以便将内容编组解组到 XML JSON 中我创建了 jaxb properties 文件内容如下 javax xml bind context factory org eclip
在 junit 测试中获取 javax.lang.model.element.Element 类

我想测试我的实用程序类 ElementUtils 但我不知道如何将类作为元素获取在 AnnotationProcessors 中我使用以下代码获取元素 Set
Spring 3 匹配通配符严格，但找不到元素 'jee:jndi-lookup' 的声明

所以我遇到了与这里类似的问题 Spring 3 0错误匹配通配符严格但找不到元素的声明 https stackoverflow com questions 8651781 spring 3 0 error the matching wi
volatile、final 和synchronized 安全发布的区别

给定一个带有变量 x 的 A 类变量 x 在类构造函数中设置 A x 77 我们想将 x 发布到其他线程考虑以下 3 种变量 x 线程安全发布的情况 1 x is final 2 x is volatile 3 x 设定为同步块 sy
当 OnFocusChangeListener 应用于包装的 EditText 时，TextInputLayout 没有动画

不能比标题说得更清楚了我有一个由文本输入布局包裹的 EditText 我试图在 EditText 失去焦点时触发一个事件但是一旦应用了事件侦听器 TextInputLayout 就不再对文本进行动画处理它只是位于 editText
tomcat 中受密码保护的应用程序

我正在使用 JSP Servlet 开发一个Web应用程序并且我使用了Tomcat 7 0 33 as a web container 所以我的要求是tomcat中的每个应用程序都会password像受保护的manager applica
如何对不同的参数类型使用相同的java方法？

我的问题我有 2 个已定义的记录创建对象请求更新对象请求必须通过实用方法进行验证由于这两个对象具有相同的字段因此可以对这两种类型应用相同的验证方法现在我只是使用两种方法进行重载但它很冗长 public record Crea
尝试将 Web 服务部署到 TomEE 时出现“找不到...的 appInfo”

我有一个非常简单的项目用于培训目的它是一个 RESTful Web 服务我使用 js css 和 html 创建了一个客户端我正在尝试将该服务部署到 TomEE 这是我尝试部署时遇到的错误我在这里做错了什么刚刚遇到这个问题我曾
干净构建 Java 命令行

我正在使用命令行编译使用 eclipse 编写的项目如下所示 javac file java 然后运行 java file args here 我将如何运行干净的构建或编译每当我重新编译时除非删除所有内容否则更改不会受到影响 cla
包 javax.el 不存在

我正在使用 jre6 eclipse 并导入 javax el 错误包 javax el 不存在 javac 导入 javax el 过来这不应该是java的一部分吗谁能告诉我为什么会这样谢谢米 EL 统一表达语言是 Java
长轮询会冻结浏览器并阻止其他 ajax 请求

我正在尝试在我的中实现长轮询Spring MVC Web 应用程序 http static springsource org spring docs 2 0 x reference mvc html但在 4 5 个连续 AJAX 请求后它会
如果没有抽象成员，基类是否应该标记为抽象？

如果一个类没有抽象成员可以将其标记为抽象吗即使没有实际理由直接实例化它除了单元测试是的将不应该实例化的基类显式标记为抽象是合理且有益的即使在没有抽象方法的情况下也是如此它强制执行通用准则来使非叶类抽象它阻止其他程序员创建该类
Spring Rest 和 Jsonp

我正在尝试让我的 Spring Rest 控制器返回jsonp但我没有快乐如果我想返回 json 但我有返回的要求完全相同的代码可以正常工作jsonp我添加了一个转换器我在网上找到了用于执行 jsonp 转换的源代码我正在使用 Sp

随机推荐

Bootstrap 导航栏折叠点 < 768px

这是 Bootstrap 3 的一个老问题 gt 更改导航栏的折叠点但这里建议的方法是 https coderwall com p wpjw4w change the bootstrap navbar breakpoint https c
我的 spring+hibernate 应用程序不关闭 jdbc 连接

我在生产中有一个 Spring Hibernate Tomcat MySql 应用程序我遇到了问题我认为应用程序没有关闭它的 jdbc 连接当它达到其限制当前为 200 时应用程序停止响应我必须重新启动 tomcat 我需要在某
如何在 Mac 中运行 .jar？

我写了一个相对简单的java应用程序我的 PC 上有 JDK 但我需要它在学校的 Mac 上运行这 jar在我的 PC 上运行完美但我在 Macintosh 上测试了它顺便说一句它没有安装 JDK 为什么mac上不能运行我怎样才
SocketException 现有连接被远程主机强制关闭

我决定研究一下网络消息传递等我的第一个调用端口是 UDP 我遇到的问题是当我尝试发送消息时我试图访问特定端口上的 IP 但应用程序出现错误 SocketException 现有连接被远程主机强制关闭这是代码 User ME new U
如何使用 Azure 数据工厂管道调用 REST API？

我想使用 ADF Pipeline 执行具有 oauth 身份验证的 REST API 如果没有 oauth2 我可以调用任何 REST API 所以我的问题是这个 ADF 管道是否支持带有 oauth2 身份验证的 REST API 如
Go 中的测试是并行执行还是一项一项执行？

我有一个包含单元测试的 Go 文件其中一些使用公共变量我正在测试的代码中使用了另一个全局变量所有这些都可能导致问题在 Go 中当我们执行位于同一文件中的测试时它们如何运行并行或在上一个完成之前下一个不会开始默认情况下所有测
C# 对结构的“is”类型检查 - 奇怪的 .NET 4.0 x86 优化行为

Update 我已经提交了一份错误报告 https connect microsoft com VisualStudio feedback details 558649 c is type check on struct odd net 4
在 Swift 中访问 Objective-C 指针

我有这个 Objective C 代码片段我想用 Swift 表达它 CFArrayRef windowList AXUIElementCopyAttributeValue appRef kAXWindowsAttribute CFTyp
Json 结果在浏览器中提示“另存为”对话框，而不是被处理。 ASP.NET MVC

我知道这对其他人来说也是一个问题但我还没有找到任何可以解决我的问题的方法我有一个显示在灯箱颜色箱中的部分视图这是一个简单的形式我希望表单提交并返回一些数据这些数据将用于调用后续函数我希望主 DIV 只用成功消息进行更新
使用 libx264 压缩一组图像时，为什么帧速率会影响最终输出大小？

我正在使用 ffmpeg 使用 libx264 编解码器将一组图像编码为短延时视频我的第一次尝试以 30 FPS 的速度进行编码使用 ffmpeg r 30 pattern type glob i jpg vcodec libx264
SoapUI 更改（禁用）Internet Explorer 的代理设置

已安装肥皂UI 4 5 1 当我启动soapUI时它禁用了IE 8中的所有复选框Internet Options gt Connection gt LAN Settings 如果我在soapUI中输入代理 gt File Preferen
如何在 Yii 查询生成器中使用 LIKE

如何使用 YIi 查询构建器构建此查询 SELECT FROM table WHERE type item 2 AND name item LIke name 我尝试过这样 return Yii app gt db gt createCom
.net core应用程序中如何进行基于组的授权？

净核心应用程序我的要求是添加基于组的授权我是 Azure AD 的用户我属于一些名称以 BR 和 AR 开头的组属于 AR 组的用户只能访问我的 API 目前我的客户端应用程序是 Swagger 我仅通过 swagger 访问 AP
找不到存储的图像

我目前正在使用此代码来存储图像可能是错误的路径是这样的 public static final String IMAGE DIR test 保存图像的代码如下 public class ImageSaver private String
如何在Python中模拟链式函数调用？

我正在使用mock http www voidspace org uk python mock 由 Michael Foord 编写的库用于帮助我在 django 应用程序上进行测试我想测试我是否正确设置了查询但我认为我不需要实际访问
Release 文件夹中的 vshost.exe 文件？

为什么会为我的应用程序的发布版本生成 appname vshost exe 文件我可能会补充一点我正在使用外部 dll 库和一些不安全的代码更有趣的是我从 Release 文件夹启动的应用程序无法正常工作从 Debug 文件夹启动
自动在firestore索引中添加索引

Can i 自动地添加索引在火库索引我的应用程序使请求过滤器 and refers to 火库 for 显示结果但如果firestore无法显示结果在控制台中我看到link to 火库 for 添加索引所以如果我push on th
必须在 ConnectionDriverName 属性中指定 JDBC Driver 或 DataSource 类名“如何解决？”

概述这是我的第一个关于 Websphere 7 Server JPA 1 0 EJB Derby Database 的教程第一我的数据源名称是EJB3BANK 我的目标数据库是SHOP 第二这个持久性 xml file
DropBoxManager 用例？

我注意到一个DropBox管理器 http d android com reference android os DropBoxManager html自 FroYo API 8 以来已在 Android API 中引入它看起来像是一个替
简单测试 Spring Boot 安全性

我正在努力测试受 Spring Security 保护的 URL 的访问控制配置如下 http authorizeRequests antMatchers api user user authenticated antMatchers a

简单测试 Spring Boot 安全性

简单测试 Spring Boot 安全性 的相关文章

随机推荐

热门标签

简单测试 Spring Boot 安全性的相关文章