Используйте @WithMockUser (с @SpringBootTest) внутри приложения сервера ресурсов oAuth2

Среда: у меня есть приложение микросервисной архитектуры с пружинной загрузкой, состоящее из нескольких инфраструктурных сервисов и сервисов ресурсов (содержащих бизнес-логику). Авторизация и аутентификация обрабатываются службой oAuth2, которая управляет объектами пользователя и создает токены JWT для клиентов.

Чтобы протестировать одно микросервисное приложение, я попытался создать тесты с testNG, spring.boot.test, org.springframework.security.test...

@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.MOCK, properties = {"spring.cloud.discovery.enabled=false", "spring.cloud.config.enabled=false", "spring.profiles.active=test"})
public class ArtistControllerTest extends AbstractTestNGSpringContextTests {

  private MockMvc mvc;

  public void setUp() {
    // nothing to do

  public void tearDown() {
    // nothing to do here

  @WithMockUser(authorities = {"READ", "WRITE"})
  public void getAllTest() throws Exception {

    // BUT GET 401

где конфигурация безопасности (сервера ресурсов) следующая

public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

  // get the configured token store
  TokenStore tokenStore;

  // get the configured token converter
  JwtAccessTokenConverter tokenConverter;

   * !!! configuration of springs http security !!!
  public void configure(HttpSecurity http) throws Exception {

   * configuration of springs resource server security
  public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
    // set the configured tokenStore to this resourceServer


и следующая проверка безопасности на основе метода, аннотированная внутри класса контроллера

@RequestMapping(value = "/", method = RequestMethod.GET)
public List<Foo> getAll(Principal user) {
    List<Foo> foos = fooRepository.findAll();
    return foos;

Я думал, что это будет работать, но при запуске теста я получаю только ошибку подтверждения

java.lang.AssertionError: Status 
Expected :200
Actual   :401

Вопрос: Есть ли что-то совершенно очевидное, что я делаю неправильно? Или @WithMockUser не будет работать с @SpringBootTest и @AutoConfigureMockMvc в среде oAuth2? Если это так... каков наилучший подход для тестирования конфигураций безопасности на основе маршрутов и методов в рамках такого (интеграционного) теста, как этот?

Приложение: Я также пробовал разные подходы, например, что-то вроде следующего... но это привело к тому же результату:(

        .with(user("admin").roles("READ","WRITE").authorities(() -> "READ", () -> "WRITE"))

весеннее тестирование безопасности
тестирование весенней загрузки 1.4

2 ответа


@WithMockUser создает аутентификацию в SecurityContext. То же самое относится и к with(user("username")),

По умолчанию OAuth2AuthenticationProcessingFilter не использует SecurityContext, но всегда создает аутентификацию из токена ("без сохранения состояния").

Вы можете легко изменить это поведение, установив флаг без состояния в конфигурации безопасности сервера ресурсов на false:

public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

    public void configure(ResourceServerSecurityConfigurer security) throws Exception {

Конечно, установите флаг в false только в ваших тестовых контекстах.

У меня была та же проблема, и единственный способ, который я нашел, это создать токен и использовать его в mockMvc.


И OAuthHelper:

public class OAuthHelper extends AuthorizationServerConfigurerAdapter {

    AuthorizationServerTokenServices tokenservice;

    ClientDetailsService clientDetailsService;

    public RequestPostProcessor bearerToken(final String clientid) {
        return mockRequest -> {
            OAuth2AccessToken token = createAccessToken(clientid);
            mockRequest.addHeader("Authorization", "Bearer " + token.getValue());
            return mockRequest;

    OAuth2AccessToken createAccessToken(final String clientId) {
        ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
        Collection<GrantedAuthority> authorities = client.getAuthorities();
        Set<String> resourceIds = client.getResourceIds();
        Set<String> scopes = client.getScope();

        Map<String, String> requestParameters = Collections.emptyMap();
        boolean approved = true;
        String redirectUrl = null;
        Set<String> responseTypes = Collections.emptySet();
        Map<String, Serializable> extensionProperties = Collections.emptyMap();

        OAuth2Request oAuth2Request = new OAuth2Request(requestParameters, clientId, authorities,
                approved, scopes, resourceIds, redirectUrl, responseTypes, extensionProperties);

        User userPrincipal = new User("user", "", true, true, true, true, authorities);
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(userPrincipal, null, authorities);
        OAuth2Authentication auth = new OAuth2Authentication(oAuth2Request, authenticationToken);

        return tokenservice.createAccessToken(auth);

    public void configure(final ClientDetailsServiceConfigurer clients) throws Exception {


Поскольку я специально пытался написать тесты для нашего ResourceServerConfiguration, я решил проблему, создав для него тестовую оболочку, которая установила для security.stateless значение false:

public class ResourceServerTestConfiguration extends ResourceServerConfigurerAdapter {
  private ResourceServerConfiguration configuration;

  public ResourceServerTestConfiguration(ResourceServerConfiguration configuration) {
    this.configuration = configuration;

  public void configure(ResourceServerSecurityConfigurer security) throws Exception {

  public void configure(HttpSecurity http) throws Exception {
Другие вопросы по тегам