此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cadn.net.cn

在 Spring MVC 测试中以用户身份运行测试

在 Spring MVC Test 中使用 RequestPostProcessor 以用户身份运行

您可以通过多种方式将用户关联到当前的HttpServletRequest. 以下示例以用户 (不需要存在) 运行,其用户名为user,其密码为password,其角色为ROLE_USER:spring-doc.cadn.net.cn

mvc
	.perform(get("/").with(user("user")))
mvc.get("/") {
    with(user("user"))
}

支持的工作原理是将用户关联到HttpServletRequest. 要将请求关联到SecurityContextHolder,您需要确保SecurityContextPersistenceFilterMockMvc实例。 您可以通过多种方式执行此作:spring-doc.cadn.net.cn

您可以轻松进行自定义。 例如,以下将以用户(不需要存在)身份运行,用户名为 “admin”,密码为 “pass”,角色为 “ROLE_USER” 和 “ROLE_ADMIN”。spring-doc.cadn.net.cn

mvc
	.perform(get("/admin").with(user("admin").password("pass").roles("USER","ADMIN")))
mvc.get("/admin") {
    with(user("admin").password("pass").roles("USER","ADMIN"))
}

如果您有一个自定义的UserDetails,您也可以轻松指定。 例如,以下将使用指定的UserDetails(不需要存在)与UsernamePasswordAuthenticationToken的 Principal,其 Principal 为指定的UserDetails:spring-doc.cadn.net.cn

mvc
	.perform(get("/").with(user(userDetails)))
mvc.get("/") {
    with(user(userDetails))
}

您可以使用以下方法以匿名用户身份运行:spring-doc.cadn.net.cn

mvc
	.perform(get("/").with(anonymous()))
mvc.get("/") {
    with(anonymous())
}

如果您以默认用户身份运行并希望以匿名用户身份处理一些请求,这将特别有用。spring-doc.cadn.net.cn

如果您想要自定义Authentication(不需要存在)中,您可以使用以下命令执行此作:spring-doc.cadn.net.cn

mvc
	.perform(get("/").with(authentication(authentication)))
mvc.get("/") {
    with(authentication(authentication))
}

您甚至可以自定义SecurityContext使用以下内容:spring-doc.cadn.net.cn

mvc
	.perform(get("/").with(securityContext(securityContext)))
mvc.get("/") {
    with(securityContext(securityContext))
}

我们还可以通过使用MockMvcBuilders的默认请求。 例如,以下将以用户名称 “admin”、密码 “password” 和角色 “ROLE_ADMIN” 的用户(不需要存在)运行:spring-doc.cadn.net.cn

mvc = MockMvcBuilders
		.webAppContextSetup(context)
		.defaultRequest(get("/").with(user("user").roles("ADMIN")))
		.apply(springSecurity())
		.build();
mvc = MockMvcBuilders
    .webAppContextSetup(context)
    .defaultRequest<DefaultMockMvcBuilder>(get("/").with(user("user").roles("ADMIN")))
    .apply<DefaultMockMvcBuilder>(springSecurity())
    .build()

如果您发现在许多测试中使用相同的用户,建议将用户移动到某个方法。 例如,您可以在自己的名为CustomSecurityMockMvcRequestPostProcessors:spring-doc.cadn.net.cn

public static RequestPostProcessor rob() {
	return user("rob").roles("ADMIN");
}
fun rob(): RequestPostProcessor {
    return user("rob").roles("ADMIN")
}

现在,您可以对CustomSecurityMockMvcRequestPostProcessors并在测试中使用它:spring-doc.cadn.net.cn

import static sample.CustomSecurityMockMvcRequestPostProcessors.*;

...

mvc
	.perform(get("/").with(rob()))
import sample.CustomSecurityMockMvcRequestPostProcessors.*

//...

mvc.get("/") {
    with(rob())
}

在带有注释的 Spring MVC Test 中以用户身份运行

作为使用RequestPostProcessor要创建用户,您可以使用 Testing Method Security 中描述的注释。 例如,以下代码将使用用户名为 “user”、密码 “password” 和角色 “ROLE_USER” 的用户运行测试:spring-doc.cadn.net.cn

@Test
@WithMockUser
public void requestProtectedUrlWithUser() throws Exception {
mvc
		.perform(get("/"))
		...
}
@Test
@WithMockUser
fun requestProtectedUrlWithUser() {
    mvc
        .get("/")
        // ...
}

或者,以下代码将使用用户名为 “user”、密码 “password” 和角色 “ROLE_ADMIN” 的用户运行测试:spring-doc.cadn.net.cn

@Test
@WithMockUser(roles="ADMIN")
public void requestProtectedUrlWithUser() throws Exception {
mvc
		.perform(get("/"))
		...
}
@Test
@WithMockUser(roles = ["ADMIN"])
fun requestProtectedUrlWithUser() {
    mvc
        .get("/")
        // ...
}