保護されていないURLに対してSpring Testが401を返す

Question

MVCテストにSpringを使用しています

これが私のテストクラスです

@RunWith(SpringRunner.class) @WebMvcTest public class ITIndexController { @Autowired WebApplicationContext context; MockMvc mockMvc; @MockBean UserRegistrationApplicationService userRegistrationApplicationService; @Before public void setUp() { this.mockMvc = MockMvcBuilders .webAppContextSetup(context) .apply(springSecurity()) .build(); } @Test public void should_render_index() throws Exception { mockMvc.perform(get("/")) .andExpect(status().isOk()) .andExpect(view().name("index")) .andExpect(content().string(containsString("Login"))); } }

ここにMVCの設定があります

@Configuration @EnableWebMvc public class MvcConfig extends WebMvcConfigurerAdapter { @Override public void addViewControllers(ViewControllerRegistry registry) { registry.addViewController("/").setViewName("index"); registry.addViewController("/login/form").setViewName("login"); } }

これはセキュリティ設定です

@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired @Qualifier("customUserDetailsService") UserDetailsService userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/resources/**", "/signup", "/signup/form", "/").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login/form").permitAll().loginProcessingUrl("/login").permitAll() .and() .logout().logoutSuccessUrl("/login/form?logout").permitAll() .and() .csrf().disable(); } @Autowired public void configureGlobalFromDatabase(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } }

テストを実行すると、次のメッセージで失敗します。

Java.lang.AssertionError: Status expected:<200> but was:<401> at org.springframework.test.util.AssertionErrors.fail(AssertionErrors.Java:54) at org.springframework.test.util.AssertionErrors.assertEquals(AssertionErrors.Java:81) at org.springframework.test.web.servlet.result.StatusResultMatchers$10.match(StatusResultMatchers.Java:664) at org.springframework.test.web.servlet.MockMvc$1.andExpect(MockMvc.Java:171) at com.marco.nutri.integration.web.controller.ITIndexController.should_render_index(ITIndexController.Java:46) at Sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at Sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.Java:62) at Sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.Java:43) at Java.lang.reflect.Method.invoke(Method.Java:498) at org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.Java:50) at org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.Java:12) at org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.Java:47) at org.junit.internal.runners.statements.InvokeMethod.evaluate(InvokeMethod.Java:17) at org.junit.internal.runners.statements.RunBefores.evaluate(RunBefores.Java:26) at org.springframework.test.context.junit4.statements.RunBeforeTestMethodCallbacks.evaluate(RunBeforeTestMethodCallbacks.Java:75) at org.springframework.test.context.junit4.statements.RunAfterTestMethodCallbacks.evaluate(RunAfterTestMethodCallbacks.Java:86) at org.springframework.test.context.junit4.statements.SpringRepeat.evaluate(SpringRepeat.Java:84) at org.junit.runners.ParentRunner.runLeaf(ParentRunner.Java:325) at org.springframework.test.context.junit4.SpringJUnit4ClassRunner.runChild(SpringJUnit4ClassRunner.Java:252) at org.springframework.test.context.junit4.SpringJUnit4ClassRunner.runChild(SpringJUnit4ClassRunner.Java:94) at org.junit.runners.ParentRunner$3.run(ParentRunner.Java:290) at org.junit.runners.ParentRunner$1.schedule(ParentRunner.Java:71) at org.junit.runners.ParentRunner.runChildren(ParentRunner.Java:288) at org.junit.runners.ParentRunner.access$000(ParentRunner.Java:58) at org.junit.runners.ParentRunner$2.evaluate(ParentRunner.Java:268) at org.springframework.test.context.junit4.statements.RunBeforeTestClassCallbacks.evaluate(RunBeforeTestClassCallbacks.Java:61) at org.springframework.test.context.junit4.statements.RunAfterTestClassCallbacks.evaluate(RunAfterTestClassCallbacks.Java:70) at org.junit.runners.ParentRunner.run(ParentRunner.Java:363) at org.springframework.test.context.junit4.SpringJUnit4ClassRunner.run(SpringJUnit4ClassRunner.Java:191) at org.Eclipse.jdt.internal.junit4.runner.JUnit4TestReference.run(JUnit4TestReference.Java:86) at org.Eclipse.jdt.internal.junit.runner.TestExecution.run(TestExecution.Java:38) at org.Eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.Java:459) at org.Eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.Java:678) at org.Eclipse.jdt.internal.junit.runner.RemoteTestRunner.run(RemoteTestRunner.Java:382) at org.Eclipse.jdt.internal.junit.runner.RemoteTestRunner.main(RemoteTestRunner.Java:192)

URLがSpring Securityで保護されているために失敗することを理解していますが、アプリケーションを実行すると、認証されていなくてもそのURLにアクセスできます。

私は何か間違ったことをしていますか？

Marco Prado · Accepted Answer

答えを見つけた
春のドキュメントによると：

@WebMvcTestは、Spring MVCインフラストラクチャを自動構成し、スキャンされるBeanを@ Controller、@ ControllerAdvice、@ JsonComponent、Filter、WebMvcConfigurer、およびHandlerMethodArgumentResolverに制限します。このアノテーションを使用すると、通常の@Component Beanはスキャンされません。

そしてgithubのこの問題によると：

https://github.com/spring-projects/spring-boot/issues/5476

@WebMvcTestは、クラスパス（私の場合）にspring-security-testが存在する場合、デフォルトでスプリングセキュリティを自動構成します。

したがって、WebSecurityConfigurerクラスが選択されていないため、デフォルトのセキュリティは自動構成されていました。これは、セキュリティ構成で保護されていないURLで401を受け取った動機です。 Springセキュリティのデフォルトの自動設定は、基本認証ですべてのURLを保護します。

問題を解決するために私がしたことは、クラスに@ContextConfigurationとアノテーションを付けることでした、そしてそれはドキュメントで説明されているように@MockBean：

多くの場合、@ WebMvcTestは単一のコントローラーに限定され、@ MockBeanと組み合わせて使用して、必要なコラボレーターにモック実装を提供します。

そしてここにテストクラスがあります

@RunWith(SpringRunner.class) @WebMvcTest @ContextConfiguration(classes={Application.class, MvcConfig.class, SecurityConfig.class}) public class ITIndex { @Autowired WebApplicationContext context; MockMvc mockMvc; @MockBean UserRegistrationApplicationService userRegistrationApplicationService; @MockBean UserDetailsService userDetailsService; @Before public void setUp() { this.mockMvc = MockMvcBuilders .webAppContextSetup(context) .apply(springSecurity()) .build(); } @Test public void should_render_index() throws Exception { mockMvc.perform(get("/")) .andExpect(status().isOk()) .andExpect(view().name("index")) .andExpect(content().string(containsString("Login"))); } }

アプリケーション、MvcConfig、およびSecurityConfigはすべて私の構成クラスです

Michael Damone · Answer

元の質問が尋ねられたときにこれが利用可能であったかどうかはわかりませんが、Webリクエストのセキュリティ部分を本当にテストしたくない場合（エンドポイントが安全でないことがわかっている場合は妥当と思われます）、これは簡単に行うことができると思います@WebMvcTestアノテーションのsecure属性を使用します（デフォルトはtrueなので、falseに設定すると、Spring SecurityのMockMvcサポートの自動構成が無効になります）：

@WebMvcTest(secure = false)

詳細は javadocs で入手可能

@WebMvcTest(secure = false)

詳細は javadocs で入手可能

mertaksu · Answer

SpringRunnerの代わりにSpringJUnit4ClassRunnerを使用すると、セキュリティレイヤーでリクエストをキャッチできます。基本認証を使用している場合は、mockMvc.perform内のhttpBasicメソッドを使用する必要があります

 mockMvc.perform(get("/").with(httpBasic(username,rightPassword))

erhun · Answer

私はいくつかの問題を抱えており、ここの回答と@Sam Brannenコメントを利用して問題を解決しました。

おそらく@ContextConfigurationを使用する必要はありません。通常、@ Import（SecurityConfig.class）を追加するだけで十分です。

回答を単純化して更新するために、spring-boot2プロジェクトでそれを修正する方法を共有したいと思います。

エンドポイントの下でテストしたい。

_@RestController @Slf4j public class SystemOptionController { private final SystemOptionService systemOptionService; private final SystemOptionMapper systemOptionMapper; public SystemOptionController( SystemOptionService systemOptionService, SystemOptionMapper systemOptionMapper) { this.systemOptionService = systemOptionService; this.systemOptionMapper = systemOptionMapper; } @PostMapping(value = "/systemoption") public SystemOptionDto create(@RequestBody SystemOptionRequest systemOptionRequest) { SystemOption systemOption = systemOptionService.save( systemOptionRequest.getOptionKey(), systemOptionRequest.getOptionValue()); SystemOptionDto dto = systemOptionMapper.mapToSystemOptionDto(systemOption); return dto; } } _

すべてのサービスメソッドはインターフェイスでなければなりません。そうでない場合、アプリケーションコンテキストを初期化できません。私のSecurityConfigを確認できます。

_@Configuration @EnableWebSecurity @EnableResourceServer @EnableGlobalMethodSecurity(securedEnabled = true) public class SecurityConfig extends ResourceServerConfigurerAdapter { @Autowired private ResourceServerTokenServices resourceServerTokenServices; @Override public void configure(final HttpSecurity http) throws Exception { if (Application.isDev()) { http.csrf().disable().authorizeRequests().anyRequest().permitAll(); } else { http .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests().regexMatchers("/health").permitAll() .antMatchers("/prometheus").permitAll() .anyRequest().authenticated() .and() .authorizeRequests() .anyRequest() .permitAll(); http.csrf().disable(); } } @Override public void configure(final ResourceServerSecurityConfigurer resources) { resources.tokenServices(resourceServerTokenServices); } } _

そして、あなたは私のSystemOptionControllerTestクラスを見ることができます。

_@RunWith(SpringRunner.class) @WebMvcTest(value = SystemOptionController.class) @Import(SecurityConfig.class) public class SystemOptionControllerTest { @Autowired private ObjectMapper mapper; @MockBean private SystemOptionService systemOptionService; @MockBean private SystemOptionMapper systemOptionMapper; @MockBean private ResourceServerTokenServices resourceServerTokenServices; private static final String OPTION_KEY = "OPTION_KEY"; private static final String OPTION_VALUE = "OPTION_VALUE"; @Autowired private MockMvc mockMvc; @Test public void createSystemOptionIfParametersAreValid() throws Exception { // given SystemOption systemOption = SystemOption.builder().optionKey(OPTION_KEY).optionValue(OPTION_VALUE).build(); SystemOptionDto systemOptionDto = SystemOptionDto.builder().optionKey(OPTION_KEY).optionValue(OPTION_VALUE).build(); SystemOptionRequest systemOptionRequest = new SystemOptionRequest(); systemOptionRequest.setOptionKey(OPTION_KEY); systemOptionRequest.setOptionValue(OPTION_VALUE); String json = mapper.writeValueAsString(systemOptionRequest); // when when(systemOptionService.save( systemOptionRequest.getOptionKey(), systemOptionRequest.getOptionValue())) .thenReturn(systemOption); when(systemOptionMapper.mapToSystemOptionDto(systemOption)).thenReturn(systemOptionDto); // then this.mockMvc .perform( post("/systemoption") .contentType(MediaType.APPLICATION_JSON) .content(json) .accept(MediaType.APPLICATION_JSON)) .andDo(print()) .andExpect(MockMvcResultMatchers.status().isOk()) .andExpect(content().string(containsString(OPTION_KEY))) .andExpect(content().string(containsString(OPTION_VALUE))); } } _

ですから、mvcテストクラスに@Import(SecurityConfig.class)を追加するだけです。