我想检查具有访问控制的方法,例如方法仅被授予特定角色。因此,我知道Symfony中有两种方法:
- 方法上方的 @Security 注释 (SensioFrameworkExtraBundle) 或
- 在我的方法中调用authorization_checker explizit
当谈到单元测试时(对于我的情况 phpspec,但我认为 phpunit 的行为在这种情况下几乎是相同的),我想测试只有匿名用户应该能够调用方法。对于 2 号,它工作正常。这是我的设置:
注册处理程序规范:
class RegistrationHandlerSpec extends ObjectBehavior
{
function let(Container $container, AuthorizationCheckerInterface $auth) {
$container->get('security.authorization_checker')->willReturn($auth);
$this->setContainer($container);
}
function it_should_block_authenticated_users(AuthorizationCheckerInterface $auth)
{
$auth->isGranted("ROLE_USER")->willReturn(true);
$this->shouldThrow('Symfony\Component\Security\Core\Exception\AccessDeniedException')->during('process', array());
}
}
在 RegistrationHandler 中,我有以下方法:
class RegistrationHandler
{
public function process()
{
$authorizationChecker = $this->get('security.authorization_checker');
if ($authorizationChecker->isGranted('ROLE_USER')) {
throw new AccessDeniedException();
}
// ...
}
}
嗯,这种方法工作正常 - 但通常情况下,我更喜欢使用 1. 和安全注释(Sensio FrameworkExtraBundle),因此,它不起作用/我不知道为什么当它被编写为注释:
/**
* @Security("!has_role('ROLE_USER')")
*/
public function process()
{
// ...
}
有谁知道如何通过使用带有 @Security 注释的第一种方法来使这个示例工作,这是 symfony 推荐的更具可读性和最佳实践的方法?
最佳答案
在这两种情况下,您都在测试第三方代码(Symfony 框架)提供的行为。遵循不要模拟您不拥有的东西的规则,您应该编写集成测试,而不是编写单元测试。否则,您只会对代码如何工作做出假设,而没有证据证明它确实如此工作。
在您的情况下,您的集成测试可能是 Controller 测试。您可以使用 Web 测试客户端(由 WebTestCase 提供)调用该 URL,并验证在某些情况下您是否收到 401 或 403 响应。
PHPSpec 是一个单元测试工具(也称为设计工具)。您需要使用其他东西(例如 PHPUnit)编写集成测试。我的项目中通常至少安装了三个测试工具:
- 用于单元测试的 PhpSpec
- 用于集成测试的 PHPUnit
- 验收测试行为(集成测试的一种形式)
关于phpunit - Symfony 单元测试安全性(ACL - 注释),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35579884/