问题
我的公司一直在评估Spring MVC,以确定我们是否应该在下一个项目中使用它。到目前为止,我喜欢我所看到的内容,现在我正在查看Spring Security模块,以确定它是否可以/应该使用。
我们的安全要求非常基本;用户只需提供用户名和密码即可访问网站的某些部分(例如获取有关其帐户的信息);并且网站上有一些页面(常见问题解答,支持等),应该授予匿名用户访问权限。
在我创建的原型中,我一直在Session中为经过身份验证的用户存储"LoginCredentials"对象(其中只包含用户名和密码);例如,某些控制器检查此对象是否在会话中以获取对登录用户名的引用。我正在寻找用Spring Security取代这个本土逻辑,这将有很好的好处,可以删除任何类型的"我们如何跟踪登录用户?"和"我们如何验证用户?"来自我的控制器/业务代码。
看起来Spring Security提供了一个(每个线程)"上下文"对象,可以从应用程序的任何位置访问用户名/主体信息...
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
...在某种程度上,这个对象是一个(全局)单例,这似乎非常不像Spring。
我的问题是:如果这是在Spring Security中访问有关经过身份验证的用户的信息的标准方法,那么将Authentication对象注入SecurityContext的可接受方式是什么,以便在单元测试需要时可用于我的单元测试认证用户?
我是否需要在每个测试用例的初始化方法中进行连接?
protected void setUp() throws Exception {
...
SecurityContextHolder.getContext().setAuthentication(
new UsernamePasswordAuthenticationToken(testUser.getLogin(), testUser.getPassword()));
...
}
这似乎过于冗长。有更容易的方法吗?
TheSecurityContextHolderobject本身看起来非常像春天......
#1 热门回答(106 赞)
只需按常规方式执行,然后在测试类中使用36432129插入,例如:
控制器:
Authentication a = SecurityContextHolder.getContext().getAuthentication();
测试:
Authentication authentication = Mockito.mock(Authentication.class);
// Mockito.whens() for your authorization object
SecurityContext securityContext = Mockito.mock(SecurityContext.class);
Mockito.when(securityContext.getAuthentication()).thenReturn(authentication);
SecurityContextHolder.setContext(securityContext);
#2 热门回答(34 赞)
问题是Spring Security不会将Authentication对象作为容器中的bean提供,因此无法轻易地将其注入或自动装入。
在我们开始使用Spring Security之前,我们将在容器中创建一个会话范围的bean来存储Principal,将其注入"AuthenticationService"(单例),然后将此bean注入需要了解当前Principal的其他服务。
如果你正在实现自己的身份验证服务,你基本上可以做同样的事情:创建一个具有"principal"属性的会话范围的bean,将其注入你的身份验证服务,让auth服务在成功的身份验证中设置该属性,然后根据需要将auth服务提供给其他bean。
使用SecurityContextHolder我不会感觉太糟糕。虽然。我知道它是一个静态/ Singleton,并且Spring不鼓励使用这些东西,但是它们的实现需要根据环境进行适当的操作:在Servlet容器中进行会话作用,在JUnit测试中进行线程作用等。真正的限制因素Singleton的用途是它提供了一种对不同环境不灵活的实现。
#3 热门回答(26 赞)
你很关心 - 静态方法调用对于单元测试尤其有问题,因为你不能轻易地模拟你的依赖项。我要向你展示的是如何让Spring IoC容器为你完成脏工作,为你提供整洁,可测试的代码。 SecurityContextHolder是一个框架类,虽然你的低级安全代码可能与它绑定,但你可能希望向UI组件(即控制器)公开更整洁的接口。
cliff.meyers提到了一种解决方法 - 创建自己的"主体"类型并向消费者注入实例。 2.x中引入的Spring <aop:scoped-proxy />标记与请求范围bean定义相结合,并且工厂方法支持可能是最易读代码的票证。
它可以像下面这样工作:
public class MyUserDetails implements UserDetails {
// this is your custom UserDetails implementation to serve as a principal
// implement the Spring methods and add your own methods as appropriate
}
public class MyUserHolder {
public static MyUserDetails getUserDetails() {
Authentication a = SecurityContextHolder.getContext().getAuthentication();
if (a == null) {
return null;
} else {
return (MyUserDetails) a.getPrincipal();
}
}
}
public class MyUserAwareController {
MyUserDetails currentUser;
public void setCurrentUser(MyUserDetails currentUser) {
this.currentUser = currentUser;
}
// controller code
}
到目前为止没什么复杂的吧?事实上,你可能已经完成了大部分工作。接下来,在bean上下文中定义一个请求范围的bean来保存主体:
<bean id="userDetails" class="MyUserHolder" factory-method="getUserDetails" scope="request">
<aop:scoped-proxy/>
</bean>
<bean id="controller" class="MyUserAwareController">
<property name="currentUser" ref="userDetails"/>
<!-- other props -->
</bean>
由于aop:scoped-proxy标记的神奇之处,每次有新的HTTP请求进入时都会调用静态方法getUserDetails,并且正确解析对currentUser属性的任何引用。现在单元测试变得微不足道了:
protected void setUp() {
// existing init code
MyUserDetails user = new MyUserDetails();
// set up user as you wish
controller.setCurrentUser(user);
}
希望这可以帮助!