在使用 spring-session 的单元测试中，身份验证不应为空

Question

我有一个 spring boot（版本 1.5.9.RELEASE）应用程序，它使用 spring-session 在 Redis 上存储会话。它还使用 spring-security 对用户进行身份验证。运行应用程序时，成功登录后，安全上下文包含 Authentication 对象。但是在运行单元测试时，我收到此错误消息Authentication should not be null。重现代码如下：

@SpringBootApplication
public class DemoRedisDataSessionApplication {

    @Configuration
    @EnableWebSecurity
    @EnableRedisHttpSession(redisNamespace = "demo-redis-spring-session")
    public static class AppConfiguration extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
            auth.inMemoryAuthentication().withUser("user").password("0000").roles("USER");
        }

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.formLogin().and()
                    .authorizeRequests().anyRequest().fullyAuthenticated();
        }

    }

    @RestController
    public static class AppController {

        @GetMapping("/secured")
        public String secured() {
            return "secured";
        }

    }

    public static void main(String[] args) {
        SpringApplication.run(DemoRedisDataSessionApplication.class, args);
    }

}

这里是 application.properties

spring.session.store-type=redis

这是失败的测试

@RunWith(SpringRunner.class)
@SpringBootTest
@AutoConfigureMockMvc
public class DemoRedisDataSessionApplicationTests {

    @Autowired
    private MockMvc mockMvc;

    @Test
    public void testUserShouldBeAuthenticated() throws Exception {
        mockMvc.perform(formLogin().user("user").password("0000"))
                .andExpect(status().is3xxRedirection())
                .andExpect(authenticated());
    }

}

失败测试的错误信息：

java.lang.AssertionError: Authentication should not be null

    at org.springframework.test.util.AssertionErrors.fail(AssertionErrors.java:35)
    at org.springframework.test.util.AssertionErrors.assertTrue(AssertionErrors.java:65)
    at org.springframework.security.test.web.servlet.response.SecurityMockMvcResultMatchers$AuthenticatedMatcher.match(SecurityMockMvcResultMatchers.java:98)

尤其是 HttpSessionSecurityContextRepository 第 110 行中的会话似乎为空，但我不明白为什么。

我希望用户通过身份验证并在成功登录后填充SecurityContext。你知道如何解决这个问题吗？

Answer 1

更新：

首先，您需要指示您的身份验证提供程序（在您的情况下，它是默认的DaoAuthenticationProvider）返回什么样的Authentication 对象。例如，您可以在自定义的WebSecurityConfigurerAdapter 中将httpBasic() 添加到您的configure(HttpSecurity http) 方法中。本质上，httpBasic() 会将您的用户名和密码转换为 UsernamePasswordAuthenticationToken 对象，以便您的 DaoAuthenticationProvider 可以使用它进行身份验证。

另外，你需要permitAll为你的登录url。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin().and()
                .authorizeRequests()
                .antMatchers("/login/**").permitAll()
                .anyRequest().fullyAuthenticated()
                .and().httpBasic();
    }

关于单元测试，问题是由于您没有将 spring 安全性连接到您的 mockMvc 对象中。由于您实际上是 spring-boot，我会给您一个带有 spring-boot-test 的示例解决方案：

@RunWith(SpringRunner.class)
@SpringBootTest
@WebAppConfiguration
public class DemoRedisDataSessionApplicationTests {

@Autowired
WebApplicationContext wac;

private MockMvc mockMvc;

@Before
public void setUp() {

    mockMvc = MockMvcBuilders.webAppContextSetup(wac)
            .apply(springSecurity())
            .build();
}

@Test
public void testUserShouldBeAuthenticated() throws Exception {
    mockMvc.perform(formLogin().user("user").password("0000"))
            .andExpect(status().is3xxRedirection())
            .andExpect(authenticated());
}
}

重点说明：以上代码中的springSecurity()来自import static org.springframework.security.test.web.servlet.setup.SecurityMockMvcConfigurers.springSecurity。