SpringSecurity WithSecurityContext MockMvc OAuth2 всегда не авторизован
Я перешел по следующим ссылкам, чтобы попробовать и протестировать OAuth2 @PreAuthorise(например, hasAnyRole('ADMIN', 'TEST'), но я не могу пройти ни один из тестов или пройти проверку подлинности.
Когда я пытаюсь получить доступ к конечной точке с помощью администратора (или любой другой роли), она никогда не будет аутентифицироваться должным образом. Я что-то упускаю из виду, кажется, у меня все так же, как в примерах. Я также попробовал другую альтернативу фабрике WithSecurityContext с OAuth-специфичной аутентификацией, но все еще не повезло. Любая помощь будет оценена.
/questions/21665671/spring-oauth-i-test-integratsii-zagruzki/21665679#21665679 и http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/
Мой контроллер я тестирую
@RestController
@RequestMapping("/bookmark/")
public class GroupBookmarkController {
@Autowired
BookmarkService bookmarkService;
/**
* Get list of all bookmarks
*/
@RequestMapping(value = "{groupId}", method = RequestMethod.GET)
@PreAuthorize("hasAnyRole(['ADMIN', 'USER'])")
public ResponseEntity<List<Bookmark>> listAllGroupBookmarks(@PathVariable("groupId") String groupId) throws BookmarkNotFoundException {
List<Bookmark> bookmarks = bookmarkService.findAllBookmarksByGroupId(groupId);
return new ResponseEntity<>(bookmarks, HttpStatus.OK);
}
...
}
Мой тестовый класс
@RunWith(SpringJUnit4ClassRunner.class)
@SpringApplicationConfiguration(classes = BookmarkServiceApplication.class)
@WebAppConfiguration
public class BookmarkServiceApplicationTests {
private MockMvc mockMvc;
@Autowired
private WebApplicationContext webApplicationContext;
@Before
public void loadData() {
this.mockMvc = MockMvcBuilders
.webAppContextSetup(webApplicationContext)
.apply(springSecurity())
.alwaysDo(print())
.build();
}
@Test
@WithMockCustomUser(username = "test")
public void getBookmarkAuthorised() throws Exception {
mockMvc.perform(get("/bookmark/nvjdbngkjlsdfngkjlfdsnlkgsd"))
.andExpect(status().is(HttpStatus.SC_OK));
// always 401 here
}
}
My BookmarkServiceApplication
@SpringBootApplication
@EnableResourceServer
public class BookmarkServiceApplication {
public static void main(String[] args) {
SpringApplication.run(BookmarkServiceApplication.class, args);
}
}
My WithSecurityContext Factory
public class WithMockCustomUserSecurityContextFactory implements WithSecurityContextFactory<WithMockCustomUser> {
@Override
public SecurityContext createSecurityContext(WithMockCustomUser customUser) {
SecurityContext context = SecurityContextHolder.createEmptyContext();
List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
UserDetails principal = new User(customUser.username(), "password", true, true, true, true, grantedAuthorities);
Authentication authentication = new UsernamePasswordAuthenticationToken(
principal, principal.getPassword(), principal.getAuthorities());
context.setAuthentication(authentication);
return context;
}
}
Моя аннотация аннотации WithSecurityContext
@Retention(RetentionPolicy.RUNTIME)
@WithSecurityContext(factory = WithMockCustomUserSecurityContextFactory.class)
public @interface WithMockCustomUser {
String username() default "user";
String name() default "Test User";
}
Согласно ответу @RobWinch
Привет @RobWinch Я попробовал вам предложение с флагом без статуса, это помогло с частью ответа. Однако в своем ответе на этот вопрос [Spring OAuth и тест интеграции загрузки] ( /questions/21665671/spring-oauth-i-test-integratsii-zagruzki/21665679#21665679) вы упоминаете
Вам больше не нужно беспокоиться о работе в режиме без состояния или нет
Почему мне все еще нужно добавить false без учета состояния, это ошибка или мы используем ее немного по-другому?
Еще одна вещь, которую мне нужно было сделать, чтобы заставить это работать, это добавление OAuth2Request и OAuth2Authentication к WithSecurityContext Factory, как вы можете видеть в следующем
public class WithMockCustomUserSecurityContextFactory implements WithSecurityContextFactory<WithMockOAuthUser> {
@Override
public SecurityContext createSecurityContext(WithMockOAuthUser withClient) {
// Get the username
String username = withClient.username();
if (username == null) {
throw new IllegalArgumentException("Username cannot be null");
}
// Get the user roles
List<GrantedAuthority> authorities = new ArrayList<>();
for (String role : withClient.roles()) {
if (role.startsWith("ROLE_")) {
throw new IllegalArgumentException("roles cannot start with ROLE_ Got " + role);
}
authorities.add(new SimpleGrantedAuthority("ROLE_" + role));
}
// Get the client id
String clientId = withClient.clientId();
// get the oauth scopes
String[] scopes = withClient.scope();
Set<String> scopeCollection = Sets.newSet(scopes);
// Create the UsernamePasswordAuthenticationToken
User principal = new User(username, withClient.password(), true, true, true, true, authorities);
Authentication authentication = new UsernamePasswordAuthenticationToken(principal, principal.getPassword(),
principal.getAuthorities());
// Create the authorization request and OAuth2Authentication object
OAuth2Request authRequest = new OAuth2Request(null, clientId, null, true, scopeCollection, null, null, null,
null);
OAuth2Authentication oAuth = new OAuth2Authentication(authRequest, authentication);
// Add the OAuth2Authentication object to the security context
SecurityContext context = SecurityContextHolder.createEmptyContext();
context.setAuthentication(oAuth);
return context;
}
}
2 ответа
Проблема в том, что OAuth2AuthenticationProcessingFilter очистит SecurityContext, если он помечен как не имеющий состояния. Чтобы обойти это, настройте его так, чтобы состояние заполнялось извне (т. Е. Без состояния = ложь).
Чтобы добавить еще немного информации о том, как установить состояние без состояния на false:
в вашем ResourceServerConfigurerAdapter сделайте следующее:
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.stateless(false);
}
который работал для меня.