Spring MockMvc模拟shiro登录

最新推荐文章于 2024-08-12 23:15:00 发布
置顶 最新推荐文章于 2024-08-12 23:15:00 发布
阅读量4k 收藏 6
点赞数 3
分类专栏: java 文章标签: shiro MockMvc session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011236357/article/details/81485775
版权

背景

最近在使用SpringBoot MockMvc进行controller层的单元测试,在测试的场景中需要用户先进行登录,用户登录使用的安全框架是apache shiro,在使用的过程中发现,使用MockHttpSession无法再用户登录后获取到shiro的session。

解决过程

对于需要模拟用户登录的场景,我们一般的做法是先调用用户的登录接口,然后获取到session,然后使用同样的session进行操作,那么,自然而然想到的就是MockHttpSession,这是一个常规方案,不做详细的追溯,然后这个方案无效。因此,还是要回到源码去解决问题。

在shiro中,我们是其实是先获取到Subject,然后再从Subject中获取session的,代码如下:

 Subject subject = SecurityUtils.getSubject();

getSubject()方法实际是从一个本地线程上下文中获取Subject,

    public static Subject getSubject() {
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            subject = (new Subject.Builder()).buildSubject();
            ThreadContext.bind(subject);
        }
        return subject;
    }

ThreadContext其实是ThreadLocal的一层包装,有兴趣的读者可以自行再继续看源代码。这里我们可以看到,如果获取不到Subject,会新建一个进行绑定,但是,在我们的场景里面,用户是先进行登录的,那么,登录之后的操作肯定是从已经绑定到的subject中获取,问题指向了Subject在何时绑定?

在考虑的时候,去shiro官网看了下单元测试的解法,这边也贴一下。shiro官网中定义了一个基类如下:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.UnavailableSecurityManagerException;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.support.SubjectThreadState;
import org.apache.shiro.util.LifecycleUtils;
import org.apache.shiro.util.ThreadState;
import org.junit.AfterClass;

/**
 * Abstract test case enabling Shiro in test environments.
 */
public abstract class AbstractShiroTest {

    private static ThreadState subjectThreadState;

    public AbstractShiroTest() {
    }

    /**
     * Allows subclasses to set the currently executing {@link Subject} instance.
     *
     * @param subject the Subject instance
     */
    protected void setSubject(Subject subject) {
        clearSubject();
        subjectThreadState = createThreadState(subject);
        subjectThreadState.bind();
    }

    protected Subject getSubject() {
        return SecurityUtils.getSubject();
    }

    protected ThreadState createThreadState(Subject subject) {
        return new SubjectThreadState(subject);
    }

    /**
     * Clears Shiro's thread state, ensuring the thread remains clean for future test execution.
     */
    protected void clearSubject() {
        doClearSubject();
    }

    private static void doClearSubject() {
        if (subjectThreadState != null) {
            subjectThreadState.clear();
            subjectThreadState = null;
        }
    }

    protected static void setSecurityManager(SecurityManager securityManager) {
        SecurityUtils.setSecurityManager(securityManager);
    }

    protected static SecurityManager getSecurityManager() {
        return SecurityUtils.getSecurityManager();
    }

    @AfterClass
    public static void tearDownShiro() {
        doClearSubject();
        try {
            SecurityManager securityManager = getSecurityManager();
            LifecycleUtils.destroy(securityManager);
        } catch (UnavailableSecurityManagerException e) {
            //we don't care about this when cleaning up the test environment
            //(for example, maybe the subclass is a unit test and it didn't
            // need a SecurityManager instance because it was using only
            // mock Subject instances)
        }
        setSecurityManager(null);
    }
}

这个基类主要的就是设置SecurityManager和Subject,在使用时,使用如下方式:

import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.After;
import org.junit.BeforeClass;
import org.junit.Test;

public class ExampleShiroIntegrationTest extends AbstractShiroTest {

    @BeforeClass
    public static void beforeClass() {
        //0.  Build and set the SecurityManager used to build Subject instances used in your tests
        //    This typically only needs to be done once per class if your shiro.ini doesn't change,
        //    otherwise, you'll need to do this logic in each test that is different
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:test.shiro.ini");
        setSecurityManager(factory.getInstance());
    }

    @Test
    public void testSimple() {
        //1.  Build the Subject instance for the test to run:
        Subject subjectUnderTest = new Subject.Builder(getSecurityManager()).buildSubject();

        //2. Bind the subject to the current thread:
        setSubject(subjectUnderTest);

        //perform test logic here.  Any call to
        //SecurityUtils.getSubject() directly (or nested in the
        //call stack) will work properly.
    }

    @AfterClass
    public void tearDownSubject() {
        //3. Unbind the subject from the current thread:
        clearSubject();
    }
}

这个用例在spring环境下,不需要从ini中获取SecurityManager,直接注入即可。参考这段代码,实际我们要做的是在setSubject之后,使用Subject登录,然后进行MockMvc的操作。那么testSimple函数可以这么写:

        //1.  Build the Subject instance for the test to run:
        Subject subjectUnderTest = new Subject.Builder(getSecurityManager()).buildSubject();

        //2. Bind the subject to the current thread:
        setSubject(subjectUnderTest);
        Subject subject = SecurityUtils.getSubject();
        UserPasswordToken token = new UserPasswordToken("admin", "test");
        subject.login(token);
        mockMvc.perform(post("/public/auth/getVerifyCode")
                .contentType(MediaType.APPLICATION_FORM_URLENCODED_VALUE)
                .param("phoneNumber", "18812345678")).andDo(print())
                .andExpect(status().isOk());

在调用这个测试方法的时候,我们发现实际在应用中获取到的Subject并不是我们在单元测试方法中绑定的Subject,这说明MockMvc在模拟请求时另行绑定了Subject,那么现在我们就考虑到shiro是什么时候对应用进行操作的?


答案是ShiroFilter。 ShiroFilter承担着shiro框架最核心的工作,它对servlet的filterchain进行了代理,在接受到请求时,会先执行shiro自己的filter链,再执行servlet容器的filter链。ShiroFilter继承自AbstractShiroFilter,在AbstractShiroFilter的doFilterInternal方法中,我们看到了如下的一段代码:

        final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
        final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

        final Subject subject = createSubject(request, response);

熟悉的味道,CreateSubject!在shiro执行自己的链的时候,它会去创建一个Subject,这就解释了MockMvc在模拟请求时另行绑定Subject的现象。那么,createSubject具体是如何执行的呢?用户登录之后又是如何获取到对应的session呢?是这一段代码:

    //Resolve an associated Session (usually based on a referenced session ID), and place it in the context before
    //sending to the SubjectFactory.  The SubjectFactory should not need to know how to acquire sessions as the
    //process is often environment specific - better to shield the SF from these details:
    context = resolveSession(context);

在resolveSession方法中会根据上下文中request的cookie获取到JSESSIONID,从而读取存储的session,进行subject的关联,最终获取sessionid的方法是在org.apache.shiro.web.session.mgt.DefaultWebSessionManager#getSessionIdCookieValue。


经过上面的分析,我们可以知道,要绑定对应的Subject,其实就是要能关联到登录的session,也就是说在MockMvc中要带上对应的Cookie,那代码可以如下:

mockMvc.perform(post("/public/auth/getVerifyCode")
                .contentType(MediaType.APPLICATION_FORM_URLENCODED_VALUE)
                .param("phoneNumber", "18812345678").cookie(cookie)).andDo(print())
                .andExpect(status().isOk());

至于cookie如何获取,mockMvc将result print出来之后应该就一目了然了,读者可以自行尝试。


有问题,可联系wgy@live.cn。

SpringMVC单元测试之MockMVC模拟登录
IBLiplus的博客
09-26 5633
在一些实际开发中,很多情况下需要对数据库进行操作,但是这里的操作就设计到用户权限,所谓权限验证就是拿到用户客户端登录后的token,在代码中进行校验,一般都是在controller层首先进行校验,如果校验成功,则执行之后操作,否则,采取相应措施,或者返回到登录界面或者错误界面,这里看业务需要。 但是我们都知道,实际项目中单元测试是必不可少的,尤其对controller层的接口进行逐个测试,需要的...
mockmvc模拟Spring Security登录用户
花开富贵的博客
10-18 2308
这里写目录标题mockmvc模拟Spring Security登录用户1.1.准备数据:1.1.1.创建模拟用户,并设置默认用户信息1.1.2.为`WithMockCustomUser`指定一个`SecurityContextFactory`1.2.处理数据:1.2.1.添加@WithMockUser注解会去查找默认注册的测试用户1.2.2.如果不想经常在测试中用同一用户,可以试一下每次指定用户信息1.2.3.另外还有一个情况就是,我们可能需要的不止那些固定的用户信息。 mockmvc模拟Spring Se
SpringMVC单元测试之MockMVC模拟登入用户
z69183787的专栏
06-16 7934
http://blog.csdn.net/lee272616/article/details/52760447 今天介绍一下springMVC的单元测试,可以参考spring官方文档进行 前提准备,springmvc的demo工程,这里就不做叙述了 pom.xml [html] view plain copy  depend
已解决:`java.security.GeneralSecurityException: 安全性相关的通用异常`
最新发布
屿小夏.的知识博客
08-12 537
是一个常见的通用异常。这个异常通常与加密、解密、数字签名、密钥管理等安全性相关的操作密切相关。本文将详细探讨这一异常的背景、可能的原因、错误和正确的代码示例,并提出一些在编写代码时需要注意的事项。在实现过程中,可能会因为使用错误的密钥或算法而引发。是一个通用的安全性异常,通常作为其他安全性异常的父类被抛出。,确保您的安全性相关代码更加健壮和可靠。希望本文能够帮助您理解并解决这一常见的报错问题。,我们需要确保使用正确的算法、密钥和其他安全性配置。在这个示例中,如果传入了不正确的加密算法或密钥格式,
MockMVC登录后测试SpringBoot项目包含Shiro Subject的控制层方法
Jake Weng
06-24 3756
UnavailableSecurityManagerException 在常规SpringBoot项目中,我们往往在单元测试类中直接使用@Autowired注解注入Bean实例,并在Test方法中调用实例方法。但如果该项目加入了Shiro安全框架,并且在某个被测试的实例方法中存在获取当前Shiro Subject对象的方法: package com.jake.manager.controller;...
MockMvc 测试web 项目 用户登录问题
sessionsong的专栏
07-18 5852
再用 MockMvc 写 web 项目 controller 层的测试用例的时候,碰到登录的问题。 背景: 项目是ssm 架构,权限是用的 keycloak。 在使用 MockMvc 写测试用例,发送http 请求的时候,服务器需要验证用户信息。最开始使用过 header(HttpHeaders.AUTHORIZATION,basicDigestHeaderValue) 和 with(http...
spring boot 使用mockMvcMockito 进行控制层接口测试
helpapa的博客
07-23 2844
之前在做业务层和控制层测试的时候,觉得控制层会调用到业务层的代码,这样等于对业务层进行了两次测试。而且修改了底层或业务层代码会影响到控制层的正常测试。于是想能不能用Mockito将业务层进行mock,从而不会影响到控制层的测试。 控制层 public class CompanyController { @Autowired private CompanyService compa...
Spring Boot和Shiro入门教程-基础概念和环境搭建
Spring Boot是一个用于简化开发Spring应用程序的框架。它采用约定大于配置的原则,可以快速地搭建独立的、生产级的Spring应用程序。Spring Boot通过自动配置、快速启动和轻量级原则,让开发者可以更专注于业务逻辑的...
springboot使用单元测试实战
08-26
Spring Boot 单元测试实战 ...在上面的代码中,我们使用了 `@AutoConfigureMockMvc` 注解来启用 MockMvc,这样我们可以使用模拟环境来测试 Web 端点。 使用 Spring Boot 进行单元测试可以使我们的代码更加可靠和稳定。
芋道 Spring Boot SpringMVC 入门
芋艿V
04-30 725
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020 超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络...
Spring-Controller单元测试
热门推荐
蓝色梦想
07-15 1万+
一般测试驱动开发项目中,我们会在Maven中建立一个项目文件和一个一一对应的测试项目文件。每写好一个模块,先对其进行单元测试,再集成到现有的系统中。 针对Controller、Service、Dao三层架构来说,我们最常对Service和Dao进行单元测试。然而Controller的测试,很多人还是启动Tomcat,进行接口测试,这样不紧需要等待很长的编译部署时间而且无法逐个Controller
springBoot+shiro简单测试mvc项目
11-14
springBoot+shiro测试项目。mvc模式写的测试模版,springBoot+shiro项目开发架构的整理
shiro测试代码
11-16
shirospring的整合,shirospring的整合,shirospring的整合
Springboot+Shiro实现登录
gnsbxjj的博客
05-16 656
Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
Sring MVC 环境下的Shiro集成测试
zmzmmf的专栏
04-02 1994
由于在Service层通过annotation限定了访问权限,并且需要根据用户权限进行业务数据过滤,因此shiro官方提供的方案实现不了。如果只是简单的需求,可以参照官方文档。 # shiro配置 为了能够集成测试,需要为shiro单独设立一个测试用的配置文件,和运行时配置文件相比唯一的区别是使用了不同的SecurityManager,由于集成测试环境并不是真正的Web环境,所以使用Defau
Junit+Spring MockMvc+Shiro时出现SessionContext和SecurityManager的错误解决方式
http_503
04-28 1170
坑爹的错误啊,找了好久的解决方法终于找到了 错误原因: ShiroFIlter在junit,mockmvc环境中没有被加入 修改方法: 在junit中加入before 中添加 ShiroFilterFactoryBean @Before public void setUp() throws Exception { DefaultMockMvcBuilde...
关于 项目中用到shiro如何通过token鉴权登录模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1181
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
Shiro(1) 权限控制之Spring集成使用(模拟登录权限)
郑清
11-27 1525
权限控制框架有:Spring security重量级安全框架 Apache Shiro轻量级安全框架 Shiro是什么?? Apache Shiro是一个强大且易用的Java安全框架,有身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 ...
Spring MVCShiro整合详解
Spring MVC框架中,整合Shiro的主要目的是实现用户的登录、权限控制和会话管理。以下是整合的关键步骤: 1. **配置Shiro Realm**:创建自定义的Realm类,继承自`AuthorizingRealm`,在这个类中实现用户身份和权限...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值