uir*_*han 16 junit spring-mvc csrf spring-security
最近我们为使用spring security 3.2的项目引入了CSRF保护.
启用CSRF后,由于请求中不存在csrf令牌,因此某些单元测试失败.我在'_csrf'参数中加入了一些虚拟值,但它不起作用.
无论如何我在发送请求之前可以获得csrf令牌(当进行单元测试时)?
Thi*_*rry 29
您的回答uiroshan正在破坏csrf令牌的目的:使用您的配置它现在将是一个常量值(除非您的配置仅在您的测试上下文中使用,但您没有指定它).
解决此问题的正确(且更简单)方法是:
import static org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors.*;
...
@Test
public void testLogin() throws Exception {
this.mockMvc.perform(post("/login")
.param("username", "...")
.param("password", "...")
.with(csrf()))
.andExpect(status().isFound())
.andExpect(header().string("Location", "redirect-url-on-success-login"));
}
重要的部分是:.with(csrf())它会将预期_csrf参数添加到查询中.
该csrf()静态方法是通过提供spring-security-test:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<version>4.2.13.RELEASE / 5.1.6.RELEASE</version>
<scope>test</scope>
</dependency>
您的单元测试需要以下导入才能访问它:
import static org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors.*;
我找到了一种解决方法,通过创建自定义 CsrfTokenRepository 实现来解决此问题。这将始终生成一个常量令牌(如“test_csrf_token”)。因此,我们可以将该令牌作为请求参数(因为它不会改变)与其他表单参数一起发送。以下是我解决问题所遵循的步骤。
创建一个实现 CsrfTokenRepository 接口的类。实现生成带有一些恒定令牌值的令牌。
public CsrfToken generateToken(HttpServletRequest request) {
return new DefaultCsrfToken(headerName, parameterName, "test_csrf_token");
}
@Override
public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {
if (token == null) {
HttpSession session = request.getSession(false);
if (session != null) {
session.removeAttribute(sessionAttributeName);
}
} else {
HttpSession session = request.getSession();
session.setAttribute(sessionAttributeName, token);
}
}
@Override
public CsrfToken loadToken(HttpServletRequest request) {
HttpSession session = request.getSession(false);
if (session == null) {
return null;
}
return (CsrfToken) session.getAttribute(sessionAttributeName);
}
在安全配置中添加对 csrf 标记的引用。
<http>
<csrf token-repository-ref="customCsrfTokenRepository" />
....
</http>
<beans:bean id="customCsrfTokenRepository" class="com.portal.controller.security.TestCsrfTokenRepository"></beans:bean>
通过添加 csrf 请求参数来修改您的测试用例。
request.addParameter("_csrf", "test_csrf_token");
| 归档时间: |
|
| 查看次数: |
8188 次 |
| 最近记录: |