在 grails + acegi 中测试 securityConfig 映射

Question

我正在为一个仍然使用 Acegi 插件（不是较新的 Spring Core Security 插件）的项目编写测试用例，到目前为止，我已经成功地完成了这个站点 (http://www.zorched.net/2008/09/01/grails-testing-acegi-security/)

已建议检测当前登录的用户。但是，在我的控制器中，我的内容如下所示：

def list = {
     // code for an "admin account"
}

def list_others = {
     // code for other accounts
}

现在，我不将登录用户签入控制器。相反，我在 SecurityConfig.groovy 中定义了这些：

security {
     ...
     requestMapString = """\
          /someController/list=ROLE_ADMIN
          /someController/list_others=ROLE_OTHERS
     """
     ...
}

因此，如果我有一个看起来像这样的测试：

void testTrial() {
     // define here that otherUser has a role of ROLE_OTHERS

     authenticate(otherUser, "other") // this calls the authenticate methode in the site I gave earlier
     controller.list()

     // I do an assertion here to check where this goes to
}

事情是，当我做断言时，当然 list 会告诉我它转发到 list.gsp ......即使“登录”用户的角色是 ROLE_OTHERS 而不是管理员。

但是，我需要的是如何测试登录用户只能访问的内容？在这种情况下，假设调用的是 *.list() 并且登录用户具有 ROLE_OTHERS 角色，我应该被转发到“拒绝”页面。

帮助？谢谢！

Answer 1

您需要为此进行功能测试。单元测试只是 Groovy 或 Java 类加上一些模拟。没有 Spring 应用程序上下文，没有 Hibernate，没有数据库，最重要的是在这种情况下没有插件。

集成测试为您提供了更多功能，但即使存在请求也大多是模拟的，并且由于没有容器，因此不会触发过滤器。 Spring Security（Acegi 插件使用）基于一系列 servlet 过滤器。因此，如果您想测试您的安全规则是否被正确应用，您需要一个正在运行的服务器，因此需要进行功能测试。

功能测试有多种选择，最流行的是 WebTest：http://grails.org/plugin/webtest，功能测试插件：http://grails.org/plugin/functional-test，以及 Selenium RC 插件：http://grails.org/plugin/selenium-rc。

最新的是 Geb：http://grails.org/plugin/geb。该手册位于http://geb.codehaus.org/，最近有一篇关于它的博客文章：http://blog.springsource.com/2010/08/28/the-future-of-functional-web-testing/