如何测试密码更改是否成功？

Question

我已经使用bcrypt-ruby 和has_secure_password 组合了一个带有用户身份验证的基本应用程序。结果本质上是来自Rails Tutorial 的应用程序的准系统版本。换句话说，我有一个 RESTful 用户模型以及登录和注销功能。

作为编辑用户信息的测试的一部分，我编写了一个更改密码的测试。虽然更改密码在浏览器中工作得很好，但我下面的测试没有通过。

subject { page }

describe "successful password change"
  let(:new_password) { "foobaz" }
  before do
    fill_in "Password",               with: new_password
    fill_in "Password Confirmation",  with: new_password
    click_button "Save changes"
  end

  specify { user.reload.password.should == new_password }
end

显然，我在这里误解了一些基本细节。

简而言之：

1) 为什么上面的代码不起作用？更改密码功能在浏览器中工作。同时，rspec 继续重新加载上面最后一行中的旧密码。然后测试失败。

2) 测试密码更改的更好方法是什么？

编辑：

初始密码设置为foobar，错误信息为：

Failure/Error: specify { user.reload.password.should == new_password }
   expected: "foobaz"
        got: "foobar" (using ==)

基本上，before 块似乎并未真正保存新密码。

供参考，相关控制器动作如下：

def update
  @user = User.find(params[:id])
  if @user.update_attributes(params[:user])
    flash[:success] = "Profile Updated"
    sign_in @user
    redirect_to root_path
  else
    render 'edit'
  end
end

Answer 1

对于 Devise 用户，请改用 #valid_password?：

expect(user.valid_password?('correct_password')).to be(true)

信用：Ryan Bigg

Answer 2

这里一个不太令人满意的解决方案是使用bcrypt-ruby提供的#authenticate方法编写一个测试。

specify { user.reload.authenticate(new_password).should be_true }

当然，这不是一个合适的集成测试，但它会让我们变绿。

Answer 3

您的答案（使用authenticate）是正确的方法；你应该对此感到满意。您想比较模型中密码的散列版本而不是 @password（通过 attr_accessor）。请记住，您保存的是哈希而不是实际密码。

您在测试中的user 是该用户在内存中的副本。当您运行测试时，更新方法会在内存中加载该用户的不同副本并更新其保存到数据库的密码哈希。你的副本没有改变；这就是为什么您想重新加载以从数据库中获取更新的数据。

密码字段不存储在数据库中，而是存储为散列，因此新的散列会从数据库中重新加载，但是您正在比较 user 实例中 @password 的短暂状态而不是加密密码。