如何测试 spring-security-oauth2 资源服务器安全性？

2024-05-19

随着 Spring Security 4 的发布改进了对测试的支持 http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#test我想更新我当前的 Spring security oauth2 资源服务器测试。

目前我有一个助手类，它设置了一个OAuth2RestTemplate using ResourceOwnerPasswordResourceDetails通过测试ClientId连接到实际的AccessTokenUri为我的测试请求有效的令牌。然后使用这个resttemplate在我的中发出请求@WebIntegrationTests.

我想通过利用 Spring Security 4 中的新测试支持，放弃对实际 AuthorizationServer 的依赖，并在测试中使用有效（如果有限）的用户凭据。

到目前为止我所有的尝试使用@WithMockUser, @WithSecurityContext, SecurityMockMvcConfigurers.springSecurity() & SecurityMockMvcRequestPostProcessors.*未能通过身份验证的呼叫MockMvc，并且我在 Spring 示例项目中找不到任何此类工作示例。

任何人都可以帮助我使用某种模拟凭据测试我的 oauth2 资源服务器，同时仍然测试所施加的安全限制吗？

** EDIT** 此处提供示例代码：https://github.com/timtebeek/resource-server-testing https://github.com/timtebeek/resource-server-testing对于每个测试类，我理解为什么它不能正常工作，但我正在寻找允许我轻松测试安全设置的方法。

我现在正在考虑创建一个非常宽松的 OAuthServersrc/test/java，这可能会有所帮助。有人还有其他建议吗？

为了有效地测试资源服务器的安全性，都可以使用MockMvc and a RestTemplate它有助于配置一个AuthorizationServer under src/test/java:

授权服务器

@Configuration
@EnableAuthorizationServer
@SuppressWarnings("static-method")
class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Bean
    public JwtAccessTokenConverter accessTokenConverter() throws Exception {
        JwtAccessTokenConverter jwt = new JwtAccessTokenConverter();
        jwt.setSigningKey(SecurityConfig.key("rsa"));
        jwt.setVerifierKey(SecurityConfig.key("rsa.pub"));
        jwt.afterPropertiesSet();
        return jwt;
    }

    @Autowired
    private AuthenticationManager   authenticationManager;

    @Override
    public void configure(final AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
        .authenticationManager(authenticationManager)
        .accessTokenConverter(accessTokenConverter());
    }

    @Override
    public void configure(final ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
        .withClient("myclientwith")
        .authorizedGrantTypes("password")
        .authorities("myauthorities")
        .resourceIds("myresource")
        .scopes("myscope")

        .and()
        .withClient("myclientwithout")
        .authorizedGrantTypes("password")
        .authorities("myauthorities")
        .resourceIds("myresource")
        .scopes(UUID.randomUUID().toString());
    }
}

集成测试
对于集成测试，可以简单地使用内置的 OAuth2 测试支持规则和注释：

@RunWith(SpringJUnit4ClassRunner.class)
@SpringApplicationConfiguration(classes = MyApp.class)
@WebIntegrationTest(randomPort = true)
@OAuth2ContextConfiguration(MyDetails.class)
public class MyControllerIT implements RestTemplateHolder {
    @Value("http://localhost:${local.server.port}")
    @Getter
    String                      host;

    @Getter
    @Setter
    RestOperations              restTemplate    = new TestRestTemplate();

    @Rule
    public OAuth2ContextSetup   context         = OAuth2ContextSetup.standard(this);

    @Test
    public void testHelloOAuth2WithRole() {
        ResponseEntity<String> entity = getRestTemplate().getForEntity(host + "/hello", String.class);
        assertTrue(entity.getStatusCode().is2xxSuccessful());
    }
}

class MyDetails extends ResourceOwnerPasswordResourceDetails {
    public MyDetails(final Object obj) {
        MyControllerIT it = (MyControllerIT) obj;
        setAccessTokenUri(it.getHost() + "/oauth/token");
        setClientId("myclientwith");
        setUsername("user");
        setPassword("password");
    }
}

MockMvc测试
测试用MockMvc也是可能的，但需要一些帮助类来获得RequestPostProcessor这设置了Authorization: Bearer <token>请求的标头：

@Component
public class OAuthHelper {
    // For use with MockMvc
    public RequestPostProcessor bearerToken(final String clientid) {
        return mockRequest -> {
            OAuth2AccessToken token = createAccessToken(clientid);
            mockRequest.addHeader("Authorization", "Bearer " + token.getValue());
            return mockRequest;
        };
    }

    @Autowired
    ClientDetailsService                clientDetailsService;
    @Autowired
    AuthorizationServerTokenServices    tokenservice;

    OAuth2AccessToken createAccessToken(final String clientId) {
        // Look up authorities, resourceIds and scopes based on clientId
        ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
        Collection<GrantedAuthority> authorities = client.getAuthorities();
        Set<String> resourceIds = client.getResourceIds();
        Set<String> scopes = client.getScope();

        // Default values for other parameters
        Map<String, String> requestParameters = Collections.emptyMap();
        boolean approved = true;
        String redirectUrl = null;
        Set<String> responseTypes = Collections.emptySet();
        Map<String, Serializable> extensionProperties = Collections.emptyMap();

        // Create request
        OAuth2Request oAuth2Request = new OAuth2Request(requestParameters, clientId, authorities, approved, scopes,
                resourceIds, redirectUrl, responseTypes, extensionProperties);

        // Create OAuth2AccessToken
        User userPrincipal = new User("user", "", true, true, true, true, authorities);
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userPrincipal, null, authorities);
        OAuth2Authentication auth = new OAuth2Authentication(oAuth2Request, authenticationToken);
        return tokenservice.createAccessToken(auth);
    }
}

Your MockMvc然后测试必须得到RequestPostProcessor来自OauthHelper类并在发出请求时传递它：

@RunWith(SpringJUnit4ClassRunner.class)
@SpringApplicationConfiguration(classes = MyApp.class)
@WebAppConfiguration
public class MyControllerTest {
    @Autowired
    private WebApplicationContext   webapp;

    private MockMvc                 mvc;

    @Before
    public void before() {
        mvc = MockMvcBuilders.webAppContextSetup(webapp)
                .apply(springSecurity())
                .alwaysDo(print())
                .build();
    }

    @Autowired
    private OAuthHelper helper;

    @Test
    public void testHelloWithRole() throws Exception {
        RequestPostProcessor bearerToken = helper.bearerToken("myclientwith");
        mvc.perform(get("/hello").with(bearerToken)).andExpect(status().isOk());
    }

    @Test
    public void testHelloWithoutRole() throws Exception {
        RequestPostProcessor bearerToken = helper.bearerToken("myclientwithout");
        mvc.perform(get("/hello").with(bearerToken)).andExpect(status().isForbidden());
    }
}

GitHub 上提供了完整的示例项目：
https://github.com/timtebeek/resource-server-testing https://github.com/timtebeek/resource-server-testing

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何测试 spring-security-oauth2 资源服务器安全性？的相关文章

Hibernate注解放置问题

我有一个我认为很简单的问题我见过两种方式的例子问题是为什么我不能将注释放在字段上让我举一个例子 Entity Table name widget public class Widget private Integer id Id G
在文本文件中写入多行（java）

下面的代码是运行命令cmd并使用命令行的输出生成一个文本文件下面的代码在 Eclipse 的输出窗口中显示了正确的信息但在文本文件中只打印了最后一行谁能帮我这个 import java io public class TextFile
这个函数（for循环）空间复杂度是O(1)还是O(n)？

public void check 10 for string i list Integer a hashtable get i if a gt 10 hashtable remove i 这是 O 1 还是 O n 我猜测 O n 但不是
Java：迭代 Collection 的最佳方法（此处为 ArrayList）

今天当我看到一段我已经使用了数百次的代码时我很高兴地开始编码迭代集合此处为 ArrayList 出于某种原因我实际上查看了 Eclipse 的自动完成选项这让我想知道在什么情况下以下循环比其他循环更好使用经典的数组索引循环
SAML 服务提供商 Spring Security

当使用预先配置的服务提供者元数据时在 Spring Security 中是否应该有 2 个用于扩展元数据委托的 bean 定义一份用于 IDP 元数据一份用于 SP 元数据
正则表达式拆分数字和字母组，不带空格

如果我有一个像 11E12C108N 这样的字符串它是字母组和数字组的串联如何在中间没有分隔符空格字符的情况下分割它们例如我希望分割结果为 tokens 0 11 tokens 1 E tokens 2 12 tokens 3 C
比较两个文本文件的最快方法是什么，不将移动的行视为不同

我有两个文件非常大每个文件有 50000 行我需要比较这两个文件并识别更改然而问题是如果一条线出现在不同的位置它不应该显示为不同的例如考虑这个文件A txt xxxxx yyyyy zzzzz 文件B txt zzzzz xx
在 S3 中迭代对象时出现“ConnectionPoolTimeoutException”

我已经使用 aws java API 一段时间了没有遇到太多问题目前我使用的是库 1 5 2 版本当我使用以下代码迭代文件夹内的对象时 AmazonS3 s3 new AmazonS3Client new PropertiesCred
Hazelcast 分布式锁与 iMap

我们目前使用 Hazelcast 3 1 5 我有一个简单的分布式锁定机制应该可以跨多个 JVM 节点提供线程安全性代码非常简单 private static HazelcastInstance hInst getHazelcastIn
Calendar.getInstance(TimeZone.getTimeZone("UTC")) 不返回 UTC 时间

我对得到的结果真的很困惑Calendar getInstance TimeZone getTimeZone UTC 方法调用它返回 IST 时间这是我使用的代码 Calendar cal Two Calendar getInstance
如何使用 Maven 打包并运行具有依赖项的简单命令行应用程序？

我对 java 和 Maven 都是全新的所以这可能非常简单如果我遵循maven2hello world此处的说明 http maven apache org guides getting started maven in Five m
使用 SQLITE 按最近的纬度和经度坐标排序

我必须获得一个 SQLite SQL 语句以便在给定初始位置的情况下按最近的纬度和经度坐标进行排序这是我在 sqlite 数据库中的表的例句 SELECT id name lat lng FROM items EXAMPLE RESUL
Java 中的“Lambdifying”scala 函数

使用Java和Apache Spark 已用Scala重写面对旧的API方法 org apache spark rdd JdbcRDD构造函数其参数为 AbstractFunction1 abstract class AbstractF
以编程方式在java的resources/source文件夹中创建文件？

我有两个资源文件夹 src 这是我的 java 文件资源这是我的资源文件图像 properties 组织在文件夹包中有没有办法以编程方式在该资源文件夹中添加另一个 properties 文件我尝试过这样的事情 public s
Netty：阻止调用以获取连接的服务器通道？

呼吁ServerBootstrap bind 返回一个Channel但这不是在Connected状态因此不能用于写入客户端 Netty 文档中的所有示例都显示写入Channel从它的ChannelHandler的事件如channelCon
HQL Hibernate 内连接

我怎样才能在 Hibernate 中编写这个 SQL 查询我想使用 Hibernate 来创建查询而不是创建数据库 SELECT FROM Employee e INNER JOIN Team t ON e Id team t Id t
如何使用 JSch 将多行命令输出存储到变量中

所以我有一段很好的代码我很难理解它允许我向我的服务器发送命令并获得一行响应该代码有效但我想从服务器返回多行主要类是 JSch jSch new JSch MyUserInfo ui new MyUserInfo String
Trie 数据结构 - Java [关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案是否有任何库或文档链接提供了在 java 中实现 Trie 数据结构的更多信息任何帮助都会很棒 Thanks 你可以阅读Java特里树
ServletContainer 类未找到异常

我无法再编译我的球衣项目并且出现以下异常 GRAVE Servlet Project API threw load exception java lang ClassNotFoundException com sun jersey spi
带有 Maven Wrapper 的 Java 17 导致无法识别的 VM 选项“MaxPermSize=512m”

I use OpenJDK 17 https jdk java net 17 使用 Maven Wrapper 3 8 2 从春季初始化 https start spring io Maven项目 JAR打包 Java 17 Spring

随机推荐

从迭代器外部将 StopIteration 发送到 for 循环

有几种方法可以打破一些嵌套循环他们是 1 使用中断继续 for x in xrange 10 for y in xrange 10 print x y if x y gt 50 break else continue only exec
Erlang 中的变量

我有一个非常简单的 Erlang 程序 module test export start 0 Code Z00887 start gt io fwrite Code 我有以下两个错误 c erl6 1 dev test erl 4 之前的语
数量重新分配逻辑 - 具有外部数据集的 MapGroups

我正在研究一种复杂的逻辑需要将数量从一个数据集重新分配到另一个数据集在例子中我们有Owner and Invoice 我们需要从数量中减去Invoice准确地Owner匹配在给定汽车的给定邮政编码处减去的数量需要重新分配回同一辆车出
UIDatePickerModeCountDownTimer模式中的UIDatePicker：如何更改为分钟和秒模式？

我在故事板中添加了 UIDatePicker 并将模式设置为 CountDownTimer 它只显示小时和分钟但我需要的是分钟和秒模式我不需要小时列需要分钟和秒列我尝试更改间隔但最小值是 1 分钟是否可以我怎样才能做到这一点
WPF DataGridTemplateColumn 组合框更新所有行

我有这个 XAML 它从 ItemSource 是枚举的组合框中选择一个值我使用的教程是 http www c sharpcorner com uploadfile dpatra combobox in datagrid in wpf h
导入 pandas 显示 ImportError: 无法导入名称哈希表

我已经在 python 3 3 上安装了 pandas 代码如下 import csv import pandas from pandas import DataFrame csvdata pandas read csv datafile
具有不同组合的产品和产品包的数据库模型

您将如何设计数据库来实现此功能考虑一个场景我们想要创建一个产品关系封装假设我们创建一个产品表 prod id prod name prod fee 1 prepaid A 19 usd 2 prepaid B 29 usd 3 pr
PowerShell：函数没有正确的返回值

我编写了一个 powershell 脚本来比较两个文件夹的内容 Dir1 d TEMP Dir1 Dir2 d TEMP Dir2 function Test Diff Dir1 Dir2 fileList1 Get ChildItem D
Netbeans 8 不会重新加载静态 Thymeleaf 文件

我通过 Maven 使用 Spring Boot 和 Thymeleaf 当我进行更改时我似乎无法让 Netbeans 自动重新部署我的任何 Thymeleaf 模板文件为了看到更改我需要进行完整的清理构建运行这需要太长的时间
如何配置eclipse以保持这种代码格式？

以下代码来自 playframework 2 0 的示例 Display the dashboard public static Result index return ok dashboard render Project findInv
Python 2.7 缩进错误[关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案这个问题是由拼写错误或无法再重现的问题引起的虽然类似的问题可能是on topic help on topic在这里这个问题的解决方式不
不使用控件时，视频元素在 Chrome 中消失

So I think这是一个浏览器错误它出现在一个更复杂的设计网站中但我已经进行了很好的尝试简化了我的代码和设计等并发现了以下内容嵌入时
在 freemarker 中，是否可以在包含文件之前检查文件是否存在？

我们正在尝试在 freemarker 中构建一个系统可以选择添加扩展文件来替换标准模板的块我们已经到了这一步 lt attempt gt lt include extension ftl gt lt recover gt Standar
在屏幕上获取字符

我浏览了 NCurses 函数列表似乎找不到返回已打印在屏幕上的字符的函数每个字符单元格中存储的字符是否有可访问的值如果没有的话Windows终端有类似的功能吗我想用它来替换屏幕上某个值的所有字符例如所有a s 具有不同的特征
使 Guid 属性成为线程安全的

我的一个类有一个 Guid 类型的属性该属性可以由多个线程同时读写我的印象是对 Guid 的读取和写入不是原子的因此我应该锁定它们我选择这样做 public Guid TestKey get lock testKeyLock ret
如何确定iPhone铃声的当前级别？

我正在使用 AVSystemController 将 iPhone 铃声静音但我不知道如何确定铃声的当前级别有任何想法吗 PS 是的我知道使用 AVSystemController 可能会导致应用程序被 App Store 禁止这不
Springs 元素“beans”不能具有字符 [children]，因为该类型的内容类型是仅元素

我在 stackoverflow 中搜索了一些页面来解决这个问题确实遵循了一些正确的答案但不起作用我是春天的新人对不起这是我的调度程序 servlet
ssh远程变量赋值？

以下内容对我不起作用 ssh email protected cdn cgi l email protection k 5 echo k 它只是返回一个空行如何在远程会话 ssh 上分配变量 Note 我的问题是not关于如何将本地变量传
查看Jasper报告执行的SQL

运行 Jasper 报表其中 SQL 嵌入到报表文件 jrxml 中时是否可以看到执行的 SQL 理想情况下我还想查看替换每个 P 占位符的值 Cheers Don JasperReports 使用 Jakarta Commons
如何测试 spring-security-oauth2 资源服务器安全性？

随着 Spring Security 4 的发布改进了对测试的支持 http docs spring io spring security site docs 4 0 x reference htmlsingle test我想更新我当前的

如何测试 spring-security-oauth2 资源服务器安全性？

如何测试 spring-security-oauth2 资源服务器安全性？ 的相关文章

随机推荐

热门标签

如何测试 spring-security-oauth2 资源服务器安全性？的相关文章