spring-security-oauth2リソースサーバーセキュリティをテストする方法

Question

Spring Security 4のリリースに続いてテストの改善されたサポート現在のSpringセキュリティoauth2リソースサーバーテストを更新したかった。

現在、テスト用の有効なトークンを要求するために実際のResourceOwnerPasswordResourceDetailsに接続するテストClientIdでAccessTokenUriを使用して_OAuth2RestTemplate_をセットアップするヘルパークラスがあります。。次に、このresttemplateを使用して、_@WebIntegrationTest_ sでリクエストを作成します。

Spring Security 4の新しいテストサポートを利用することで、実際のAuthorizationServerへの依存関係、およびテストでの有効な（制限されている場合）ユーザー資格情報の使用をやめたいと思います。

これまで、_@WithMockUser_、_@WithSecurityContext_、SecurityMockMvcConfigurers.springSecurity()、および_SecurityMockMvcRequestPostProcessors.*_を使用するすべての試みは、MockMvcを介して認証済みの呼び出しを行うことに失敗しました。 Springのサンプルプロジェクトにはそのような実用的なサンプルはありません。

強制されたセキュリティ制限をまだテストしながら、誰かが何らかの種類の模擬資格情報でoauth2リソースサーバーをテストするのを手伝ってもらえますか？

**[〜＃〜] edit [〜＃〜]**サンプルコードはこちらから入手可能： https://github.com/ timtebeek/resource-server-testing 各テストクラスについて、なぜ機能しないのかは理解していますが、セキュリティのセットアップを簡単にテストできる方法を探しています。

_src/test/Java_の下に非常に寛容なOAuthServerを作成することを考えています。他に何か提案はありますか？

Tim · Accepted Answer

MockMvcとRestTemplateの両方でリソースサーバーのセキュリティを効果的にテストするには、src/test/Javaの下でAuthorizationServerを構成すると役立ちます。

AuthorizationServer

@Configuration @EnableAuthorizationServer @SuppressWarnings("static-method") class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Bean public JwtAccessTokenConverter accessTokenConverter() throws Exception { JwtAccessTokenConverter jwt = new JwtAccessTokenConverter(); jwt.setSigningKey(SecurityConfig.key("rsa")); jwt.setVerifierKey(SecurityConfig.key("rsa.pub")); jwt.afterPropertiesSet(); return jwt; } @Autowired private AuthenticationManager authenticationManager; @Override public void configure(final AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .authenticationManager(authenticationManager) .accessTokenConverter(accessTokenConverter()); } @Override public void configure(final ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("myclientwith") .authorizedGrantTypes("password") .authorities("myauthorities") .resourceIds("myresource") .scopes("myscope") .and() .withClient("myclientwithout") .authorizedGrantTypes("password") .authorities("myauthorities") .resourceIds("myresource") .scopes(UUID.randomUUID().toString()); } }

統合テスト
統合テストでは、組み込みのOAuth2テストサポートルールとアノテーションを使用できます。

@RunWith(SpringJUnit4ClassRunner.class) @SpringApplicationConfiguration(classes = MyApp.class) @WebIntegrationTest(randomPort = true) @OAuth2ContextConfiguration(MyDetails.class) public class MyControllerIT implements RestTemplateHolder { @Value("http://localhost:${local.server.port}") @Getter String Host; @Getter @Setter RestOperations restTemplate = new TestRestTemplate(); @Rule public OAuth2ContextSetup context = OAuth2ContextSetup.standard(this); @Test public void testHelloOAuth2WithRole() { ResponseEntity<String> entity = getRestTemplate().getForEntity(Host + "/hello", String.class); assertTrue(entity.getStatusCode().is2xxSuccessful()); } } class MyDetails extends ResourceOwnerPasswordResourceDetails { public MyDetails(final Object obj) { MyControllerIT it = (MyControllerIT) obj; setAccessTokenUri(it.getHost() + "/oauth/token"); setClientId("myclientwith"); setUsername("user"); setPassword("password"); } }

MockMvcテスト
MockMvcを使用したテストも可能ですが、リクエストでAuthorization: Bearer <token>ヘッダーを設定するRequestPostProcessorを取得するための小さなヘルパークラスが必要です。

@Component public class OAuthHelper { // For use with MockMvc public RequestPostProcessor bearerToken(final String clientid) { return mockRequest -> { OAuth2AccessToken token = createAccessToken(clientid); mockRequest.addHeader("Authorization", "Bearer " + token.getValue()); return mockRequest; }; } @Autowired ClientDetailsService clientDetailsService; @Autowired AuthorizationServerTokenServices tokenservice; OAuth2AccessToken createAccessToken(final String clientId) { // Look up authorities, resourceIds and scopes based on clientId ClientDetails client = clientDetailsService.loadClientByClientId(clientId); Collection<GrantedAuthority> authorities = client.getAuthorities(); Set<String> resourceIds = client.getResourceIds(); Set<String> scopes = client.getScope(); // Default values for other parameters Map<String, String> requestParameters = Collections.emptyMap(); boolean approved = true; String redirectUrl = null; Set<String> responseTypes = Collections.emptySet(); Map<String, Serializable> extensionProperties = Collections.emptyMap(); // Create request OAuth2Request oAuth2Request = new OAuth2Request(requestParameters, clientId, authorities, approved, scopes, resourceIds, redirectUrl, responseTypes, extensionProperties); // Create OAuth2AccessToken User userPrincipal = new User("user", "", true, true, true, true, authorities); UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userPrincipal, null, authorities); OAuth2Authentication auth = new OAuth2Authentication(oAuth2Request, authenticationToken); return tokenservice.createAccessToken(auth); } }

MockMvcテストはRequestPostProcessorクラスからOauthHelperを取得し、要求を行うときにそれを渡す必要があります。

@RunWith(SpringJUnit4ClassRunner.class) @SpringApplicationConfiguration(classes = MyApp.class) @WebAppConfiguration public class MyControllerTest { @Autowired private WebApplicationContext webapp; private MockMvc mvc; @Before public void before() { mvc = MockMvcBuilders.webAppContextSetup(webapp) .apply(springSecurity()) .alwaysDo(print()) .build(); } @Autowired private OAuthHelper helper; @Test public void testHelloWithRole() throws Exception { RequestPostProcessor bearerToken = helper.bearerToken("myclientwith"); mvc.perform(get("/hello").with(bearerToken)).andExpect(status().isOk()); } @Test public void testHelloWithoutRole() throws Exception { RequestPostProcessor bearerToken = helper.bearerToken("myclientwithout"); mvc.perform(get("/hello").with(bearerToken)).andExpect(status().isForbidden()); } }

GitHubで完全なサンプルプロジェクトを利用できます。
https://github.com/timtebeek/resource-server-testing

mclaassen · Answer

私はここで読んだ指示に従ってこれを行うはるかに簡単な方法を見つけました： http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#test-method- withsecuritycontext 。このソリューションは、@PreAuthorizeを#oauth2.hasScopeでテストすることに固有のものですが、他の状況にも適応できると確信しています。

@Testsに適用できる注釈を作成します。

WithMockOAuth2Scope

import org.springframework.security.test.context.support.WithSecurityContext; import Java.lang.annotation.Retention; import Java.lang.annotation.RetentionPolicy; @Retention(RetentionPolicy.RUNTIME) @WithSecurityContext(factory = WithMockOAuth2ScopeSecurityContextFactory.class) public @interface WithMockOAuth2Scope { String scope() default ""; }

WithMockOAuth2ScopeSecurityContextFactory

import org.springframework.security.core.Authentication; import org.springframework.security.core.context.SecurityContext; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.oauth2.provider.OAuth2Authentication; import org.springframework.security.oauth2.provider.OAuth2Request; import org.springframework.security.test.context.support.WithSecurityContextFactory; import Java.util.HashSet; import Java.util.Set; public class WithMockOAuth2ScopeSecurityContextFactory implements WithSecurityContextFactory<WithMockOAuth2Scope> { @Override public SecurityContext createSecurityContext(WithMockOAuth2Scope mockOAuth2Scope) { SecurityContext context = SecurityContextHolder.createEmptyContext(); Set<String> scope = new HashSet<>(); scope.add(mockOAuth2Scope.scope()); OAuth2Request request = new OAuth2Request(null, null, null, true, scope, null, null, null, null); Authentication auth = new OAuth2Authentication(request, null); context.setAuthentication(auth); return context; } }

MockMvcを使用したテストの例：

@RunWith(SpringJUnit4ClassRunner.class) @SpringBootTest public class LoadScheduleControllerTest { private MockMvc mockMvc; @Autowired LoadScheduleController loadScheduleController; @Before public void setup() { mockMvc = MockMvcBuilders.standaloneSetup(loadScheduleController) .build(); } @Test @WithMockOAuth2Scope(scope = "dataLicense") public void testSchedule() throws Exception { mockMvc.perform(post("/schedule").contentType(MediaType.APPLICATION_JSON_UTF8).content(json)).andDo(print()); } }

そして、これはテスト中のコントローラーです：

@RequestMapping(value = "/schedule", method = RequestMethod.POST) @PreAuthorize("#oauth2.hasScope('dataLicense')") public int schedule() { return 0; }

gogstad · Answer

Spring Boot 1.5の導入テストスライス like @WebMvcTest。これらのテストスライスを使用してOAuth2AutoConfigurationを手動でロードすると、テストの定型化が少なくなり、提案された@SpringBootTestベースのソリューションよりも高速に実行されます。運用セキュリティ構成もインポートする場合、構成されたフィルターチェーンがWebサービスに対して機能していることをテストできます。

おそらく有益であると思われるいくつかの追加クラスとともにセットアップを以下に示します。

コントローラー：

@RestController @RequestMapping(BookingController.API_URL) public class BookingController { public static final String API_URL = "/v1/booking"; @Autowired private BookingRepository bookingRepository; @PreAuthorize("#oauth2.hasScope('myapi:write')") @PatchMapping(consumes = APPLICATION_JSON_UTF8_VALUE, produces = APPLICATION_JSON_UTF8_VALUE) public Booking patchBooking(OAuth2Authentication authentication, @RequestBody @Valid Booking booking) { String subjectId = MyOAuth2Helper.subjectId(authentication); booking.setSubjectId(subjectId); return bookingRepository.save(booking); } }

テスト：

@RunWith(SpringRunner.class) @AutoConfigureJsonTesters @WebMvcTest @Import(DefaultTestConfiguration.class) public class BookingControllerTest { @Autowired private MockMvc mvc; @Autowired private JacksonTester<Booking> json; @MockBean private BookingRepository bookingRepository; @MockBean public ResourceServerTokenServices resourceServerTokenServices; @Before public void setUp() throws Exception { // Stub the remote call that loads the authentication object when(resourceServerTokenServices.loadAuthentication(anyString())).thenAnswer(invocation -> SecurityContextHolder.getContext().getAuthentication()); } @Test @WithOAuthSubject(scopes = {"myapi:read", "myapi:write"}) public void mustHaveValidBookingForPatch() throws Exception { mvc.perform(patch(API_URL) .header(AUTHORIZATION, "Bearer foo") .content(json.write(new Booking("myguid", "aes")).getJson()) .contentType(MediaType.APPLICATION_JSON_UTF8) ).andExpect(status().is2xxSuccessful()); } }

DefaultTestConfiguration：

@TestConfiguration @Import({MySecurityConfig.class, OAuth2AutoConfiguration.class}) public class DefaultTestConfiguration { }

MySecurityConfig（本番用です）：

@Configuration @EnableOAuth2Client @EnableResourceServer @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/v1/**").authenticated(); } }

テストからスコープを挿入するためのカスタム注釈：

@Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @WithSecurityContext(factory = WithOAuthSubjectSecurityContextFactory.class) public @interface WithOAuthSubject { String[] scopes() default {"myapi:write", "myapi:read"}; String subjectId() default "a1de7cc9-1b3a-4ecd-96fa-dab6059ccf6f"; }

カスタムアノテーションを処理するためのファクトリクラス：

public class WithOAuthSubjectSecurityContextFactory implements WithSecurityContextFactory<WithOAuthSubject> { private DefaultAccessTokenConverter defaultAccessTokenConverter = new DefaultAccessTokenConverter(); @Override public SecurityContext createSecurityContext(WithOAuthSubject withOAuthSubject) { SecurityContext context = SecurityContextHolder.createEmptyContext(); // Copy of response from https://myidentityserver.com/identity/connect/accesstokenvalidation Map<String, ?> remoteToken = ImmutableMap.<String, Object>builder() .put("iss", "https://myfakeidentity.example.com/identity") .put("aud", "oauth2-resource") .put("exp", OffsetDateTime.now().plusDays(1L).toEpochSecond() + "") .put("nbf", OffsetDateTime.now().plusDays(1L).toEpochSecond() + "") .put("client_id", "my-client-id") .put("scope", Arrays.asList(withOAuthSubject.scopes())) .put("sub", withOAuthSubject.subjectId()) .put("auth_time", OffsetDateTime.now().toEpochSecond() + "") .put("idp", "idsrv") .put("amr", "password") .build(); OAuth2Authentication authentication = defaultAccessTokenConverter.extractAuthentication(remoteToken); context.setAuthentication(authentication); return context; } }

リアルなOAuth2Authenticationを作成するために、アイデンティティサーバーからの応答のコピーを使用します。あなたはおそらく私のコードをコピーすることができます。アイデンティティサーバーのプロセスを繰り返したい場合は、カスタムResourceServerTokenServicesを設定したかどうかに応じて、org.springframework.security.oauth2.provider.token.RemoteTokenServices#loadAuthenticationまたはorg.springframework.boot.autoconfigure.security.oauth2.resource.UserInfoTokenServices#extractAuthenticationにブレークポイントを配置します。

Rocks360 · Answer

これには別の解決策があります。下記参照：

@RunWith(SpringRunner.class) @SpringBootTest @WebAppConfiguration @ActiveProfiles("test") public class AccountContollerTest { public static Logger log = LoggerFactory.getLogger(AccountContollerTest.class); @Autowired private WebApplicationContext webApplicationContext; private MockMvc mvc; @Autowired private FilterChainProxy springSecurityFilterChain; @Autowired private UserRepository users; @Autowired private PasswordEncoder passwordEncoder; @Autowired private CustomClientDetailsService clientDetialsService; @Before public void setUp() { mvc = MockMvcBuilders .webAppContextSetup(webApplicationContext) .apply(springSecurity(springSecurityFilterChain)) .build(); BaseClientDetails testClient = new ClientBuilder("testclient") .secret("testclientsecret") .authorizedGrantTypes("password") .scopes("read", "write") .autoApprove(true) .build(); clientDetialsService.addClient(testClient); User user = createDefaultUser("testuser", passwordEncoder.encode("testpassword"), "max", "Mustermann", new Email("myemail@test.de")); users.deleteAll(); users.save(user); } @Test public void shouldRetriveAccountDetailsWithValidAccessToken() throws Exception { mvc.perform(get("/api/me") .header("Authorization", "Bearer " + validAccessToken()) .accept(MediaType.APPLICATION_JSON)) .andExpect(status().isOk()) .andDo(print()) .andExpect(jsonPath("$.userAuthentication.name").value("testuser")) .andExpect(jsonPath("$.authorities[0].authority").value("ROLE_USER")); } @Test public void shouldReciveHTTPStatusUnauthenticatedWithoutAuthorizationHeader() throws Exception{ mvc.perform(get("/api/me") .accept(MediaType.APPLICATION_JSON)) .andDo(print()) .andExpect(status().isUnauthorized()); } private String validAccessToken() throws Exception { String username = "testuser"; String password = "testpassword"; MockHttpServletResponse response = mvc .perform(post("/oauth/token") .header("Authorization", "Basic " + new String(Base64Utils.encode(("testclient:testclientsecret") .getBytes()))) .param("username", username) .param("password", password) .param("grant_type", "password")) .andDo(print()) .andReturn().getResponse(); return new ObjectMapper() .readValue(response.getContentAsByteArray(), OAuthToken.class) .accessToken; } @JsonIgnoreProperties(ignoreUnknown = true) private static class OAuthToken { @JsonProperty("access_token") public String accessToken; } }

それが役立つことを願っています！

talipkorkmaz · Answer

トークンストアでSpring Securityリソースサーバーをテストする簡単で迅速な方法を見つけました。私の例@EnabledResourceServeruses jwtトークンストア。

ここでの魔法は、統合テストでJwtTokenStoreをInMemoryTokenStoreに置き換えたことです。

@RunWith (SpringRunner.class) @SpringBootTest (classes = {Application.class}, webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT) @ActiveProfiles ("test") @TestPropertySource (locations = "classpath:application.yml") @Transactional public class ResourceServerIntegrationTest { @Autowired private TokenStore tokenStore; @Autowired private ObjectMapper jacksonObjectMapper; @LocalServerPort int port; @Configuration protected static class PrepareTokenStore { @Bean @Primary public TokenStore tokenStore() { return new InMemoryTokenStore(); } } private OAuth2AccessToken token; private OAuth2Authentication authentication; @Before public void init() { RestAssured.port = port; token = new DefaultOAuth2AccessToken("FOO"); ClientDetails client = new BaseClientDetails("client", null, "read", "client_credentials", "ROLE_READER,ROLE_CLIENT"); // Authorities List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>(); authorities.add(new SimpleGrantedAuthority("ROLE_READER")); UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken("writer", "writer", authorities); authentication = new OAuth2Authentication(new TokenRequest(null, "client", null, "client_credentials").createOAuth2Request(client), authenticationToken); tokenStore.storeAccessToken(token, authentication); } @Test public void gbsUserController_findById() throws Exception { RestAssured.given().log().all().when().headers("Authorization", "Bearer FOO").get("/gbsusers/{id}", 2L).then().log().all().statusCode(HttpStatus.OK.value()); }

Thomas Turrell-Croft · Answer

よりクリーンで意味のあるものと思われる代替アプローチがあります。

アプローチは、トークンストアを自動接続してから、残りのクライアントが使用できるテストトークンを追加することです。

テスト例：

@RunWith(SpringRunner.class) @SpringBootTest(webEnvironment = WebEnvironment.RANDOM_PORT) public class UserControllerIT { @Autowired private TestRestTemplate testRestTemplate; @Autowired private TokenStore tokenStore; @Before public void setUp() { final OAuth2AccessToken token = new DefaultOAuth2AccessToken("FOO"); final ClientDetails client = new BaseClientDetails("client", null, "read", "client_credentials", "ROLE_CLIENT"); final OAuth2Authentication authentication = new OAuth2Authentication( new TokenRequest(null, "client", null, "client_credentials").createOAuth2Request(client), null); tokenStore.storeAccessToken(token, authentication); } @Test public void testGivenPathUsersWhenGettingForEntityThenStatusCodeIsOk() { final HttpHeaders headers = new HttpHeaders(); headers.add(HttpHeaders.AUTHORIZATION, "Bearer FOO"); headers.setContentType(MediaType.APPLICATION_JSON); // Given Path Users final UriComponentsBuilder uri = UriComponentsBuilder.fromPath("/api/users"); // When Getting For Entity final ResponseEntity<String> response = testRestTemplate.exchange(uri.build().toUri(), HttpMethod.GET, new HttpEntity<>(headers), String.class); // Then Status Code Is Ok assertThat(response.getStatusCode(), is(HttpStatus.OK)); } }

個人的には、セキュリティはコントローラーとは別のレイヤーであるため、セキュリティを有効にしたコントローラーを単体テストすることは適切ではないと考えています。すべてのレイヤーを一緒にテストする統合テストを作成します。ただし、上記のアプローチは、MockMvcを使用する単体テストを作成するために簡単に変更できます。

上記のコードは、Dave Syerによって書かれた Spring Security test に触発されています。

この方法は、認可サーバーと同じトークンストアを共有するリソースサーバー向けです。リソースサーバーが承認サーバーと同じトークンストアを共有しない場合は、 wiremockを使用してhttp応答をモックするをお勧めします。

ch4mp · Answer

もう1つ解決策を詳しく説明しました :-D

上記のように、Authorizationヘッダーの設定に基づいていますが、私は望んでいました：

実際に有効なJWTトークンを作成せず、すべてのJWT認証スタックを使用する（ユニットテスト...）
テストケースで定義されたスコープと権限を含むためのテスト認証

だから私は：

テストごとにOAuth2Authentication：@WithMockOAuth2Client（直接クライアント接続）＆@WithMockOAuth2User（エンドユーザーに代わって動作するクライアント=>カスタム@ WithMockOAuth2ClientとSpring @WithMockUserの両方を含む）
@MockBean TokenStoreは、上記のカスタムアノテーションで設定されたOAuth2Authenticationを返します
tokenStoreモックによってインターセプトされた特定のAuthorizationヘッダーを設定して期待される認証を挿入するMockHttpServletRequestBuilderファクトリーを提供します。

テストするための結果：

@WebMvcTest(MyController.class) // Controller to unit-test @Import(WebSecurityConfig.class) // your class extending WebSecurityConfigurerAdapter public class MyControllerTest extends OAuth2ControllerTest { @Test public void testWithUnauthenticatedClient() throws Exception { api.post(payload, "/endpoint") .andExpect(...); } @Test @WithMockOAuth2Client public void testWithDefaultClient() throws Exception { api.get("/endpoint") .andExpect(...); } @Test @WithMockOAuth2User public void testWithDefaultClientOnBehalfDefaultUser() throws Exception { MockHttpServletRequestBuilder req = api.postRequestBuilder(null, "/uaa/refresh") .header("refresh_token", JWT_REFRESH_TOKEN); api.perform(req) .andExpect(status().isOk()) .andExpect(...) } @Test @WithMockOAuth2User( client = @WithMockOAuth2Client( clientId = "custom-client", scope = {"custom-scope", "other-scope"}, authorities = {"custom-authority", "ROLE_CUSTOM_CLIENT"}), user = @WithMockUser( username = "custom-username", authorities = {"custom-user-authority"})) public void testWithCustomClientOnBehalfCustomUser() throws Exception { api.get(MediaType.APPLICATION_ATOM_XML, "/endpoint") .andExpect(status().isOk()) .andExpect(xpath(...)); } }