java - 为什么 TestRestTemplate 允许在 Spring Boot IT 测试中进行未经身份验证的请求？

在我的 springBoot(RELEASE 1.5.20)应用程序中，启用了基本身份验证。我使用以下代码创建了完整的 IT 测试

@RunWith(SpringRunner.class)
@ActiveProfiles(profiles = "securedIT")
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
public class MYtestIT{
@LocalServerPort
     private int port;

   private String getRootUrl() {
        return "http://localhost:" + port;
   }

   @Autowired
   private TestRestTemplate restTemplate;

    @Test
    public void testAdmincachWitheWrongAuthentication() {
        String baseUri = getRootUrl() + CONTEXT_ROOT;
         HttpEntity<String> entity = new HttpEntity<>(null,  new HttpHeaders());
         URI url = URI.create(baseUri + "/ref/cache/task");

       ResponseEntity<String> response = restTemplate.exchange(url, HttpMethod.DELETE, entity, String.class);
       //ResponseEntity<String> response = restTemplate.withBasicAuth("user", "myPwd").exchange(url, HttpMethod.DELETE, entity, String.class);

     assertEquals(ReferenceWSIT.MSG_WRON_STATUS,401, response.getStatusCode().value());
    }
}

在应用程序中的配置如下:

@Configuration
public class GlobalWebSecurityConfigurerAdapter extends 
WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("ref/v1/**").permitAll()
            .antMatchers("ref/cache/**").authenticated().and().httpBasic();
    }   
}

当我运行应用程序时，身份验证过滤器工作正常，当我运行 Junit 集成测试时出现问题。如果我调用restTemplate.withBasicAuth()，测试会根据好或坏的凭据正确失败或成功。但是如果如果直接调用restTemplate而没有BasicAuth，则所有请求都被允许(所以我的测试断言失败)。

作为使用完整配置的 IT 测试，我希望身份验证是强制性的，为什么事实并非如此？

最佳答案

[编辑]我的第一个解决方案是错误的，正确的配置是:

@Configuration
public class GlobalWebSecurityConfigurerAdapter extends 
WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
            http.csrf().disable()
                .anonymous().disable()
                //following will disable cookie session to force the browser to Authenticate on each request      
               .sessionManagement()
               .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
               .and()
               .authorizeRequests()
               .antMatchers("/ref/cache/**")
               .authenticated().and().httpBasic()
               .and()
               .addFilterAfter(new HmacSecurityFilter(), BasicAuthenticationFilter.class)
               ;
    }   
}

第一个错误:antMatcher 必须以“/”开头:“/ref/cache/**” 而不是 “ref/cache/**”

其次，在我的第二个过滤器 (HmacSecurityFilter) 中，我检查任何请求(之前为 .antMatchers("ref/v1/**").permitAll() )，并执行自定义代码以避免检查经过身份验证的 uri (/ref/cache/**) 。

关于java - 为什么 TestRestTemplate 允许在 Spring Boot IT 测试中进行未经身份验证的请求？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/56689259/

java - 为什么 TestRestTemplate 允许在 Spring Boot IT 测试中进行未经身份验证的请求？

上一篇：c++ - 有类似 is_empty_but_has_virtual_functions 的东西吗？

下一篇：erlang - 在Erlang中，当一个进程的邮箱增长较大时，它的运行速度会变慢，为什么？