Spring MockMvc模拟shiro登录

最新推荐文章于 2024-03-24 23:18:10 发布
置顶 最新推荐文章于 2024-03-24 23:18:10 发布
阅读量3.9k 收藏 5
点赞数 3
分类专栏: java 文章标签: shiro MockMvc session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011236357/article/details/81485775
版权

背景

最近在使用SpringBoot MockMvc进行controller层的单元测试,在测试的场景中需要用户先进行登录,用户登录使用的安全框架是apache shiro,在使用的过程中发现,使用MockHttpSession无法再用户登录后获取到shiro的session。

解决过程

对于需要模拟用户登录的场景,我们一般的做法是先调用用户的登录接口,然后获取到session,然后使用同样的session进行操作,那么,自然而然想到的就是MockHttpSession,这是一个常规方案,不做详细的追溯,然后这个方案无效。因此,还是要回到源码去解决问题。

在shiro中,我们是其实是先获取到Subject,然后再从Subject中获取session的,代码如下:

 Subject subject = SecurityUtils.getSubject();

getSubject()方法实际是从一个本地线程上下文中获取Subject,

    public static Subject getSubject() {
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            subject = (new Subject.Builder()).buildSubject();
            ThreadContext.bind(subject);
        }
        return subject;
    }

ThreadContext其实是ThreadLocal的一层包装,有兴趣的读者可以自行再继续看源代码。这里我们可以看到,如果获取不到Subject,会新建一个进行绑定,但是,在我们的场景里面,用户是先进行登录的,那么,登录之后的操作肯定是从已经绑定到的subject中获取,问题指向了Subject在何时绑定?

在考虑的时候,去shiro官网看了下单元测试的解法,这边也贴一下。shiro官网中定义了一个基类如下:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.UnavailableSecurityManagerException;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.support.SubjectThreadState;
import org.apache.shiro.util.LifecycleUtils;
import org.apache.shiro.util.ThreadState;
import org.junit.AfterClass;

/**
 * Abstract test case enabling Shiro in test environments.
 */
public abstract class AbstractShiroTest {

    private static ThreadState subjectThreadState;

    public AbstractShiroTest() {
    }

    /**
     * Allows subclasses to set the currently executing {@link Subject} instance.
     *
     * @param subject the Subject instance
     */
    protected void setSubject(Subject subject) {
        clearSubject();
        subjectThreadState = createThreadState(subject);
        subjectThreadState.bind();
    }

    protected Subject getSubject() {
        return SecurityUtils.getSubject();
    }

    protected ThreadState createThreadState(Subject subject) {
        return new SubjectThreadState(subject);
    }

    /**
     * Clears Shiro's thread state, ensuring the thread remains clean for future test execution.
     */
    protected void clearSubject() {
        doClearSubject();
    }

    private static void doClearSubject() {
        if (subjectThreadState != null) {
            subjectThreadState.clear();
            subjectThreadState = null;
        }
    }

    protected static void setSecurityManager(SecurityManager securityManager) {
        SecurityUtils.setSecurityManager(securityManager);
    }

    protected static SecurityManager getSecurityManager() {
        return SecurityUtils.getSecurityManager();
    }

    @AfterClass
    public static void tearDownShiro() {
        doClearSubject();
        try {
            SecurityManager securityManager = getSecurityManager();
            LifecycleUtils.destroy(securityManager);
        } catch (UnavailableSecurityManagerException e) {
            //we don't care about this when cleaning up the test environment
            //(for example, maybe the subclass is a unit test and it didn't
            // need a SecurityManager instance because it was using only
            // mock Subject instances)
        }
        setSecurityManager(null);
    }
}

这个基类主要的就是设置SecurityManager和Subject,在使用时,使用如下方式:

import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.After;
import org.junit.BeforeClass;
import org.junit.Test;

public class ExampleShiroIntegrationTest extends AbstractShiroTest {

    @BeforeClass
    public static void beforeClass() {
        //0.  Build and set the SecurityManager used to build Subject instances used in your tests
        //    This typically only needs to be done once per class if your shiro.ini doesn't change,
        //    otherwise, you'll need to do this logic in each test that is different
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:test.shiro.ini");
        setSecurityManager(factory.getInstance());
    }

    @Test
    public void testSimple() {
        //1.  Build the Subject instance for the test to run:
        Subject subjectUnderTest = new Subject.Builder(getSecurityManager()).buildSubject();

        //2. Bind the subject to the current thread:
        setSubject(subjectUnderTest);

        //perform test logic here.  Any call to
        //SecurityUtils.getSubject() directly (or nested in the
        //call stack) will work properly.
    }

    @AfterClass
    public void tearDownSubject() {
        //3. Unbind the subject from the current thread:
        clearSubject();
    }
}

这个用例在spring环境下,不需要从ini中获取SecurityManager,直接注入即可。参考这段代码,实际我们要做的是在setSubject之后,使用Subject登录,然后进行MockMvc的操作。那么testSimple函数可以这么写:

        //1.  Build the Subject instance for the test to run:
        Subject subjectUnderTest = new Subject.Builder(getSecurityManager()).buildSubject();

        //2. Bind the subject to the current thread:
        setSubject(subjectUnderTest);
        Subject subject = SecurityUtils.getSubject();
        UserPasswordToken token = new UserPasswordToken("admin", "test");
        subject.login(token);
        mockMvc.perform(post("/public/auth/getVerifyCode")
                .contentType(MediaType.APPLICATION_FORM_URLENCODED_VALUE)
                .param("phoneNumber", "18812345678")).andDo(print())
                .andExpect(status().isOk());

在调用这个测试方法的时候,我们发现实际在应用中获取到的Subject并不是我们在单元测试方法中绑定的Subject,这说明MockMvc在模拟请求时另行绑定了Subject,那么现在我们就考虑到shiro是什么时候对应用进行操作的?


答案是ShiroFilter。 ShiroFilter承担着shiro框架最核心的工作,它对servlet的filterchain进行了代理,在接受到请求时,会先执行shiro自己的filter链,再执行servlet容器的filter链。ShiroFilter继承自AbstractShiroFilter,在AbstractShiroFilter的doFilterInternal方法中,我们看到了如下的一段代码:

        final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
        final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

        final Subject subject = createSubject(request, response);

熟悉的味道,CreateSubject!在shiro执行自己的链的时候,它会去创建一个Subject,这就解释了MockMvc在模拟请求时另行绑定Subject的现象。那么,createSubject具体是如何执行的呢?用户登录之后又是如何获取到对应的session呢?是这一段代码:

    //Resolve an associated Session (usually based on a referenced session ID), and place it in the context before
    //sending to the SubjectFactory.  The SubjectFactory should not need to know how to acquire sessions as the
    //process is often environment specific - better to shield the SF from these details:
    context = resolveSession(context);

在resolveSession方法中会根据上下文中request的cookie获取到JSESSIONID,从而读取存储的session,进行subject的关联,最终获取sessionid的方法是在org.apache.shiro.web.session.mgt.DefaultWebSessionManager#getSessionIdCookieValue。


经过上面的分析,我们可以知道,要绑定对应的Subject,其实就是要能关联到登录的session,也就是说在MockMvc中要带上对应的Cookie,那代码可以如下:

mockMvc.perform(post("/public/auth/getVerifyCode")
                .contentType(MediaType.APPLICATION_FORM_URLENCODED_VALUE)
                .param("phoneNumber", "18812345678").cookie(cookie)).andDo(print())
                .andExpect(status().isOk());

至于cookie如何获取,mockMvc将result print出来之后应该就一目了然了,读者可以自行尝试。


有问题,可联系wgy@live.cn。

Light_shineWang
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ShiroSession分析
lbl的博客
02-11 1573
本文中的时序图使用在线工具https://www.websequencediagrams.com/生成 背景:使用Spring boot搭建web工程,使用shiro做认证授权工作 疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiroSession SecurityUtils.getSubject() 在处理请求时,可以通过Securi...
Shiro环境搭建及登录认证
Massimo__JAVA的博客
10-04 274
Shiro环境搭建及登录认证
详解Spring Boot 集成Shiro和CAS
08-30
主要介绍了详解Spring Boot 集成Shiro和CAS,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解springshiro集成
08-29
主要介绍了详解springshiro集成,需要的朋友可以参考下
org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling
lansetudou的博客
03-24 1243
如果 Servlet 和 Filter 在处理请求时可能会发生阻塞,可以将阻塞请求线程的操作分配到异步线程,然后将处理请求的线程归还到 Servlet 容器中的线程池,而不产生响应,当异步线程中的操作完成,异步线程可以直接产生响应或将请求重新分派到容器中的 Servlet 处理。熟悉shiro的朋友们应该知道,shiro是作为servlet的filter起作用的,一个请求被shiro拦截之后,进行一系列处理,后续在该请求的线程中才能访问到SecurityManager。的帮助在单独的线程中调用。
Spring SecurityShiro的相同点与不同点整理
08-25
在本篇文章里小编给大家整理的是关于Spring SecurityShiro的相同不同点整理,需要的朋友们可以参考下。
Shiro源码剖析
小波的博客
05-20 184
在原作者基础上,针对部分概念做了补充,觉得不错可以给原文博主点个赞,原文:https://blog.csdn.net/caoyang0105/article/details/82769293 先粘出登录的代码 @RequestMapping(value="/submitLogin",method = RequestMethod.POST) @ResponseBody pub...
MockMvc 测试web 项目 用户登录问题
sessionsong的专栏
07-18 5792
再用 MockMvc 写 web 项目 controller 层的测试用例的时候,碰到登录的问题。 背景: 项目是ssm 架构,权限是用的 keycloak。 在使用 MockMvc 写测试用例,发送http 请求的时候,服务器需要验证用户信息。最开始使用过 header(HttpHeaders.AUTHORIZATION,basicDigestHeaderValue) 和 with(http...
关于 项目中用到shiro如何通过token鉴权登录模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1107
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
Mock测试
Risk的博客
07-20 241
mock依赖 &lt;dependency&gt; &lt;groupId&gt;com.jayway.jsonpath&lt;/groupId&gt; &lt;artifactId&gt;json-path&lt;/artifactId&gt; &lt;version&gt;2.4.0&lt;/version&gt;
shiro免密(模拟登陆功能)
qq_27809785的博客
05-08 2467
前天接到了老大的一个任务,就是超级管理员这个角色才有权限模拟登陆功能,但是我们的密码都是在前端添加的时候用shiro的SHA-256加了密的,所以从数据库看是看不出密码是什么?接到这个功能的时候我也一脸懵逼,一度怀疑是不是当时数据库设计错了,为什么不加上明文密码。直到后来问了老大,说是为了安全起见。 对于shiro,这还是我第一次接触shiro框架,所以一头雾水,在百度、google到处模糊查询(...
Spring boot +spring mvc+shiro 登录验证demo
Just Do It!
12-18 2148
1. 配置shiro依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;/dependency&gt;2. 定义shrio相关bean,也可以在spring配置文件中配置,因为我用的sp...
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
spring mvc整合shiro登录 权限验证实例下载
05-07
SpringMVC整合shiro登录和注销,并且实现权限管理,内含实例源码 相关文档说明详见http://blog.csdn.net/rongku/article/details/51336424
异步导入中使用SecurityUtils.getSubject().getPrincipal()获取LoginUser对象导致的缓存删除失败问题
weixin_43975276的博客
12-13 1820
但当异步的时候,就没有set用户信息的过程,线程内的用户信息还是上一次进入Controller用该线程的用户的用户信息。也就存在数据对不上的情况。(其实是因为只有一个用户,用来用去都只有一个用户,各个线程里面存的都是该用户,当然获取到的是一致的)因为新实现的导入都是直接用一个key作为判断是否存在正常导入的依据,并且异步之后删除key用的也是通过传参传入的LoginUser,而校验用的是ThreaLocal,自然不会出现这种问题。再去看半个小时内是否有导入,还真有,再细看过期时间和导入时间,居然还对的上。
shiro用户登录验证
zhangjialouzhu的博客
04-01 382
shiro用户登录验证 1.login方法 代码如下(示例): SecurityUtils.getSubject().login(new UsernamePasswordToken(username, password))); 其中调用了doGetAuthenticationInfo方法 2.配置realm 代码如下(示例): 继承AuthorizingRealm重写doGetAuthenticationInfo方法 protect...
shiro 学习笔记
u012068294的专栏
04-02 252
权限系统: 分配权限(把对某些安全实体的某些权限分配给某些人员的过程) 验证权限(判断某个人员或程序对某个安全实体是否拥有某个或某些权限的过程) 安全实体:比如数据,资源。 权限:比如查看,修改 权限的继承性:安全实体的包含性,比如大楼里面的房间。 权限最近匹配原则:和包含类似,里面没有权限控制,像外层找,找到最近的。 shiro 的作用:认证,授权,加密,会话。 subj...
JAVA Sercurity ,Shiro源码学习(1)---------SecurityUtils.getSubject()
qq_42738957的博客
08-02 985
最近在学习shiro的源码,所以记录下来自己的心得。 学习源码查看网上教程一直都是很迷,源码这种东西需要自己不断去定位去看才能看明白。 那么我们现在开始:这次我们主要讲解SecurityUtils.getSubject()并从这个方法入手看看到底怎么获取到我们要的subject。 private static SecurityManager securityManager; ...
Object 转 List 工具类
YanQiuXiang
11-03 1617
public static <T> List<T> castList(Object obj, Class<T> clazz) { List<T> result = new ArrayList<T>(); if (obj instanceof List<?>) { for (Object o : (List<?>) obj) { r...
spring boot整合shiro
最新发布
04-03
4. 配置Spring Boot与Shiro的集成:在Spring Boot的配置文件中配置Shiro的相关属性,如登录页面、登录成功页面等。 5. 编写Controller:编写Controller类,处理用户登录、注销等请求,并通过Shiro进行身份验证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值