忘记密码安全测试
您的用户在您的Web应用程序上拥有个人资料。 通常,您应该给他们一种删除其个人资料的方法(至少这是欧洲法院的决定 )。
“简单”表示您需要一个/forget-me
端点,该端点将删除当前用户的每条数据。 从数据库,文件存储,搜索引擎等。除了让用户至少部分控制自己的数据(是否可以决定是他们的决定)之外,这对开发人员也有好处。
除了包含大量模拟的孤立的单元测试之外,您还可以进行其他类型的测试-集成测试,验收测试和Selenim测试。 所有这些都需要一种使数据库保持与执行前相同状态的方法。 在某些情况下,您可以使用只读事务(例如,通过spring-test自动获取),或者可以使用内存数据库并希望它与生产数据库相同,或者可以删除数据库并在每次运行时重新创建它。 但是这些是部分解决方案,具有一些额外的复杂性。
我认为最好的方法是重用“忘记我”功能。 从验收/Selenium测试中,您可以在测试结束时(tearDown)调用/ forget-me端点,对于集成测试y。 如果您分发客户端API(或第三方正在针对系统的测试部署构建它们),则可以再次调用“勿忘我”端点。
当然,这并不涵盖数据库中所需的与用户无关的数据。 如果您拥有此类数据(除了枚举和应始终存在的数据),则必须单独进行处理。
这是否还会带来额外的复杂性,以及不断更新您的“忘记我”功能的需求? 是否没有只读事务,或者没有每次运行后都会重新创建数据库的Shell脚本,更易于支持? 假设您仍然需要正常工作的“忘记我”功能–不。 最好重用它。 这也将确保端点确实在正常工作,并且您的用户可以被完全遗忘。
翻译自: https://www.javacodegeeks.com/2015/09/forget-me-and-tests.html
忘记密码安全测试