使用 mockmvc 和 junit 添加 csrf 令牌

【问题标题】:Add csrf token with mockmvc and junit使用 mockmvc 和 junit 添加 csrf 令牌
【发布时间】:2016-02-29 13:43:44
【问题描述】:

我有两个元的视图(我正在使用百里香):

    <meta name="_csrf" th:content="${_csrf.token}" />
    <meta name="_csrf_header" th:content="${_csrf.headerName}" />

在我的测试控制器中,我这样做:

HttpSessionCsrfTokenRepository httpSessionCsrfTokenRepository = new HttpSessionCsrfTokenRepository();
CsrfToken csrfToken2 = httpSessionCsrfTokenRepository.generateToken(new MockHttpServletRequest());

CustomUser user = new CustomUser();
user.setName("foo");
user.setSurname("fooo");
List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
grantedAuthorities.add(new SimpleGrantedAuthority("role"));

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("foo", "fooo", grantedAuthorities);
token.setDetails(user);     

MockHttpSession session = new MockHttpSession();
session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, new MockSecurityContext(token));
session.setAttribute("_csrf", csrfToken2);


this.mockMvc.perform(post("/foo/update")
            .param("param", "asdfasd")
            ....
            .session(session)
            )
        .andExpect(view().name(("foo/detail"))).andExpect(model().hasErrors())

当我运行测试时出现此错误(未找到令牌或为空):

org.springframework.web.util.NestedServletException: 请求 处理失败;嵌套异常是 org.thymeleaf.exceptions.TemplateProcessingException:异常 评估 SpringEL 表达式:“_csrf.token”(布局/默认值:4) org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:979) 在 org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:869) 在 javax.servlet.http.HttpServlet.service(HttpServlet.java:707) 在 org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:843) 在 org.springframework.test.web.servlet.TestDispatcherServlet.service(TestDispatcherServlet.java:65) 在 javax.servlet.http.HttpServlet.service(HttpServlet.java:790) 在 org.springframework.mock.web.MockFilterChain$ServletFilterProxy.doFilter(MockFilterChain.java:167) 在 org.springframework.mock.web.MockFilterChain.doFilter(MockFilterChain.java:134) 在 org.springframework.test.web.servlet.MockMvc.perform(MockMvc.java:144) 在 es.xunta.amtega.axipro.web.controller.SolicitudeControllerSaveTest.testSaveValidator(SolicitudeControllerSaveTest.java:144) 在 sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) 在 sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57) 在 sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) 在 java.lang.reflect.Method.invoke(Method.java:601) 在 org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.java:50) 在 org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.java:12) 在 org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:47) 在 org.junit.internal.runners.statements.InvokeMethod.evaluate(InvokeMethod.java:17) 在 org.junit.internal.runners.statements.RunBefores.evaluate(RunBefores.java:26) 在 org.springframework.test.context.junit4.statements.RunBeforeTestMethodCallbacks.evaluate(RunBeforeTestMethodCallbacks.java:75) 在 org.springframework.test.context.junit4.statements.RunAfterTestMethodCallbacks.evaluate(RunAfterTestMethodCallbacks.java:86) 在 org.springframework.test.context.junit4.statements.SpringRepeat.evaluate(SpringRepeat.java:70) 在 org.junit.runners.ParentRunner.runLeaf(ParentRunner.java:325) 在 org.springframework.test.context.junit4.SpringJUnit4ClassRunner.runChild(SpringJUnit4ClassRunner.java:224) 在 org.springframework.test.context.junit4.SpringJUnit4ClassRunner.runChild(SpringJUnit4ClassRunner.java:83) 在 org.junit.runners.ParentRunner$3.run(ParentRunner.java:290) 在 org.junit.runners.ParentRunner$1.schedule(ParentRunner.java:71) 在 org.junit.runners.ParentRunner.runChildren(ParentRunner.java:288) 在 org.junit.runners.ParentRunner.access$000(ParentRunner.java:58) 在 org.junit.runners.ParentRunner$2.evaluate(ParentRunner.java:268) 在 org.junit.internal.runners.statements.RunBefores.evaluate(RunBefores.java:26) 在 org.springframework.test.context.junit4.statements.RunBeforeTestClassCallbacks.evaluate(RunBeforeTestClassCallbacks.java:61) 在 org.springframework.test.context.junit4.statements.RunAfterTestClassCallbacks.evaluate(RunAfterTestClassCallbacks.java:70) 在 org.junit.runners.ParentRunner.run(ParentRunner.java:363) 在 org.springframework.test.context.junit4.SpringJUnit4ClassRunner.run(SpringJUnit4ClassRunner.java:163) 在 org.eclipse.jdt.internal.junit4.runner.JUnit4TestReference.run(JUnit4TestReference.java:50) 在 org.eclipse.jdt.internal.junit.runner.TestExecution.run(TestExecution.java:38) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:459) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:675) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.run(RemoteTestRunner.java:382) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.main(RemoteTestRunner.java:192) 引起:org.thymeleaf.exceptions.TemplateProcessingException: 评估 SpringEL 表达式的异常:“_csrf.token” (布局/默认:4)在 org.thymeleaf.spring4.expression.SpelVariableExpressionEvaluator.evaluate(SpelVariableExpressionEvaluator.java:161) 在 org.thymeleaf.standard.expression.VariableExpression.executeVariable(VariableExpression.java:154) 在 org.thymeleaf.standard.expression.SimpleExpression.executeSimple(SimpleExpression.java:59) 在 org.thymeleaf.standard.expression.Expression.execute(Expression.java:103) 在 org.thymeleaf.standard.expression.Expression.execute(Expression.java:133) 在 org.thymeleaf.standard.expression.Expression.execute(Expression.java:120) 在 org.thymeleaf.standard.processor.attr.AbstractStandardSingleAttributeModifierAttrProcessor.getTargetAttributeValue(AbstractStandardSingleAttributeModifierAttrProcessor.java:67) 在 org.thymeleaf.processor.attr.AbstractSingleAttributeModifierAttrProcessor.getModifiedAttributeValues(AbstractSingleAttributeModifierAttrProcessor.java:59) 在 org.thymeleaf.processor.attr.AbstractAttributeModifierAttrProcessor.processAttribute(AbstractAttributeModifierAttrProcessor.java:62) 在 org.thymeleaf.processor.attr.AbstractAttrProcessor.doProcess(AbstractAttrProcessor.java:87) 在 org.thymeleaf.processor.AbstractProcessor.process(AbstractProcessor.java:212) 在 org.thymeleaf.dom.Node.applyNextProcessor(Node.java:1017) 在 org.thymeleaf.dom.Node.processNode(Node.java:972) 在 org.thymeleaf.dom.NestableNode.computeNextChild(NestableNode.java:695) 在 org.thymeleaf.dom.NestableNode.doAdditionalProcess(NestableNode.java:668) 在 org.thymeleaf.dom.Node.processNode(Node.java:990) 在 org.thymeleaf.dom.NestableNode.computeNextChild(NestableNode.java:695) 在 org.thymeleaf.dom.NestableNode.doAdditionalProcess(NestableNode.java:668) 在 org.thymeleaf.dom.Node.processNode(Node.java:990) 在 org.thymeleaf.dom.NestableNode.computeNextChild(NestableNode.java:695) 在 org.thymeleaf.dom.NestableNode.doAdditionalProcess(NestableNode.java:668) 在 org.thymeleaf.dom.Node.processNode(Node.java:990) 在 org.thymeleaf.dom.Document.process(Document.java:93) 在 org.thymeleaf.TemplateEngine.process(TemplateEngine.java:1155) 在 org.thymeleaf.TemplateEngine.process(TemplateEngine.java:1060) 在 org.thymeleaf.TemplateEngine.process(TemplateEngine.java:1011) 在 org.thymeleaf.spring4.view.ThymeleafView.renderFragment(ThymeleafView.java:335) 在 org.thymeleaf.spring4.view.ThymeleafView.render(ThymeleafView.java:190) 在 org.springframework.web.servlet.DispatcherServlet.render(DispatcherServlet.java:1244) 在 org.springframework.test.web.servlet.TestDispatcherServlet.render(TestDispatcherServlet.java:105) 在 org.springframework.web.servlet.DispatcherServlet.processDispatchResult(DispatcherServlet.java:1027) 在 org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:971) 在 org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:893) 在 org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:967) ... 40 更多 原因: org.springframework.expression.spel.SpelEvaluationException: EL1007E:(pos 0): 在 null 处找不到属性或字段“令牌” org.springframework.expression.spel.ast.PropertyOrFieldReference.readProperty(PropertyOrFieldReference.java:220) 在 org.springframework.expression.spel.ast.PropertyOrFieldReference.getValueInternal(PropertyOrFieldReference.java:94) 在 org.springframework.expression.spel.ast.PropertyOrFieldReference.access$000(PropertyOrFieldReference.java:46) 在 org.springframework.expression.spel.ast.PropertyOrFieldReference$AccessorLValue.getValue(PropertyOrFieldReference.java:374) 在 org.springframework.expression.spel.ast.CompoundExpression.getValueInternal(CompoundExpression.java:88) 在 org.springframework.expression.spel.ast.SpelNodeImpl.getValue(SpelNodeImpl.java:120) 在 org.springframework.expression.spel.standard.SpelExpression.getValue(SpelExpression.java:267) 在 org.thymeleaf.spring4.expression.SpelVariableExpressionEvaluator.evaluate(SpelVariableExpressionEvaluator.java:139) ... 73 更多

我找到了一个临时解决方案,但它不是一个好的解决方案..:

<th:block th:if="${_csrf}">
   <meta name="_csrf" th:content="${_csrf.token}" />
   <meta name="_csrf_header" th:content="${_csrf.headerName}" />
</th:block>

【问题讨论】:

    标签: spring junit spring-security mockito mockmvc


    【解决方案1】:

    要访问您需要的会话属性

    th:text="${session._csrf.headerName}">
th:text="${session._csrf.token}">

    spring thymeleaf

    如果您在测试中使用 MockMvc,您可以使用

    设置 csrf 令牌 
    mvc
.perform(post("/").with(csrf()))

    web security

    【讨论】:

    • 我的问题是测试。我得到了 csrf 令牌来运行应用程序。因为在 JUnit 测试中我有这个错误。如何在测试中设置 de csrf 令牌?这是问题。谢谢。
    • 我已经找到了这个,但我仍然有同样的错误。谢谢。
    【解决方案2】:

    当 CSRF 选项被激活时,Spring Security 会创建一个具有 tokenheaderNameparameter_csrf 对象作为属性。 thymeleaf 中有两个地方可以使用 CSRF 保护:

    • 在标题部分使用 meta 标签。

      <meta name="_csrf" th:content="${_csrf.token}" />
<meta name="_csrf_header" th:content="${_csrf.headerName}" />

    • 在表单中使用隐藏字段。

      <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

    SecurityMockMvcRequestPostProcessors.csrf请求处理器的问题是它只创建了一个字符串参数,没有属性,与上面提到的thymeleaf代码不兼容:

        ...
    request.addHeader(token.getHeaderName(), tokenValue);
    ...
    request.setParameter(token.getParameterName(), tokenValue);

    我的解决方法是制作一个自定义 RequestPostProcessor,将令牌添加为请求属性而不是请求参数:

        package ...;

    import org.springframework.mock.web.MockHttpServletRequest;
    import org.springframework.mock.web.MockHttpServletResponse;
    import org.springframework.security.test.web.support.WebTestUtils;
    import org.springframework.security.web.csrf.CsrfToken;
    import org.springframework.security.web.csrf.CsrfTokenRepository;
    import org.springframework.test.web.servlet.request.RequestPostProcessor;

    /**
     * A request post processor to add <em>csrf</em> information.
     */
    public class CsrfRequestPostProcessor implements RequestPostProcessor {

        private boolean useInvalidToken = false;

        private boolean asHeader = false;


        @Override
        public MockHttpServletRequest postProcessRequest(MockHttpServletRequest request) {
            CsrfTokenRepository repository = WebTestUtils.getCsrfTokenRepository(request);
            CsrfToken token = repository.generateToken(request);
            repository.saveToken(token, request, new MockHttpServletResponse());
            String tokenValue = useInvalidToken ? "invalid" + token.getToken() : token
                    .getToken();
            if (asHeader) {
                request.setAttribute(token.getHeaderName(), token);
            }
            else {
                request.setAttribute(token.getParameterName(), token);
            }
            return request;
        }

        public RequestPostProcessor invalidToken() {
            this.useInvalidToken = true;
            return this;
        }

        public RequestPostProcessor asHeader() {
            this.asHeader = true;
            return this;
        }

        public static CsrfRequestPostProcessor csrf() {
            return new CsrfRequestPostProcessor();
        }
    }

    你可以直接在MockMvc中使用这个类:

    mockMvc.perform(
        get("/security/winsso")
                .with(CsrfRequestPostProcessor.csrf())
                .param("xxx", XXX)
                .param("yyy", YYY))
        .andExpect(status().isOk());

    如果您在 thymeleaf 中使用 header 选项,请注意 asHeader

    【讨论】:

      【解决方案3】:

      你可以

      @RunWith(SpringJUnit4ClassRunner.class)
@ContextConfiguration
@WebAppConfiguration
public class CsrfShowcaseTests {

  @Autowired
  private WebApplicationContext context;

  @Autowired
  private Filter springSecurityFilterChain;

  private MockMvc mvc;

  @Before
  public void setup() {
      mvc = MockMvcBuilders
              .webAppContextSetup(context)
              .addFilters(springSecurityFilterChain)
              .build();
  }
@Test
public void verifiesHomePageLoads() throws Exception {
    mockMvc.perform(MockMvcRequestBuilders.get("/index"))
            .andExpect(MockMvcResultMatchers.model().hasNoErrors())
            .andExpect(MockMvcResultMatchers.model().attributeExists("word"))
            .andExpect(MockMvcResultMatchers.model().attributeExists("w"))
            .andExpect(MockMvcResultMatchers.model().attributeExists("mobil"))
            .andExpect(MockMvcResultMatchers.view().name("/index"))
            .andExpect(MockMvcResultMatchers.status().isOk());

}

      }

      百里香叶代码:

       <form id="suggetWord" name="suggetWord" data-th-action="@{/suggest-word(${_csrf.parameterName}=${_csrf.token})}" ></form>
 <form class="mainForm" th:id="word-search" th:name="word-search" data-th-action="@{/word-search(${_csrf.parameterName}=${_csrf.token})}"  > </form>

      【讨论】:

      • 在导入正确的过滤器类javax.servlet.Filter; 后,它起作用了。谢谢。
      猜你喜欢
      • 2017-04-13
      • 2021-06-29
      • 2012-05-29
      • 2018-03-29
      • 2014-01-18
      • 1970-01-01
      • 1970-01-01
      • 2020-03-12
      • 2018-04-20
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode