如何对使用 thymeleaf 的安全控制器进行单元测试（不会出现 TemplateProcessingException）？

我正在尝试使用 spring security 和一个简单的家庭（根）控制器在 spring-boot 中运行单元测试，该控制器使用 thymeleaf 进行模板处理。我正在尝试编写一些单元测试来验证我的安全权限是否正常工作以及我的模板（使用 thymeleaf spring 安全集成）隐藏或显示了正确的数据。当我运行应用程序时，它本身可以正常工作。我只是想验证它是否可以与一组集成测试一起使用。 您可以在这里找到所有代码，但我还将在下面包含相关片段：

https://github.com/azeckoski/lti_starter

控制器非常简单，除了渲染模板（在根目录 - 即“/”）之外什么也不做。

@Controller
public class HomeController extends BaseController {
    @RequestMapping(method = RequestMethod.GET)
    public String index(HttpServletRequest req, Principal principal, Model model) {
        log.info("HOME: " + req);
        model.addAttribute("name", "HOME");
        return "home"; // name of the template
    }
}

该模板包含很多内容，但测试的相关部分是：

<p>Hello Spring Boot User <span th:text="${username}"/>! (<span th:text="${name}"/>)</p>
<div sec:authorize="hasRole('ROLE_USER')">
    This content is only shown to users (ROLE_USER).
</div>
<div sec:authorize="isAnonymous()"><!-- only show this when user is NOT logged in -->
    <h2>Form Login endpoint</h2>
    ...
</div>

最后是测试：

@RunWith(SpringJUnit4ClassRunner.class)
@SpringApplicationConfiguration(classes = Application.class)
@WebAppConfiguration
public class AppControllersTest extends BaseApplicationTest {

    @Autowired
    WebApplicationContext wac;

    @Autowired
    private FilterChainProxy springSecurityFilter;

    private MockMvc mockMvc;

    @Before
    public void setup() {
        // Process mock annotations
        MockitoAnnotations.initMocks(this);
        // Setup Spring test in webapp-mode (same config as spring-boot)
        this.mockMvc = MockMvcBuilders.webAppContextSetup(wac)
                .addFilter(springSecurityFilter, "/*")
                .build();
    }

    @Test
    public void testLoadRoot() throws Exception {
        // Test basic home controller request
        MvcResult result = this.mockMvc.perform(get("/"))
                .andExpect(status().isOk())
                .andExpect(content().contentTypeCompatibleWith(MediaType.TEXT_HTML))
                .andReturn();
        String content = result.getResponse().getContentAsString();
        assertNotNull(content);
        assertTrue(content.contains("Hello Spring Boot"));
        assertTrue(content.contains("Form Login endpoint"));
    }

    @Test
    public void testLoadRootWithAuth() throws Exception {
        Collection<GrantedAuthority> authorities = new HashSet<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        Authentication authToken = new UsernamePasswordAuthenticationToken("azeckoski", "password", authorities);
        SecurityContextHolder.getContext().setAuthentication(authToken);
        // Test basic home controller request
        MvcResult result = this.mockMvc.perform(get("/"))
                .andExpect(status().isOk())
                .andExpect(content().contentTypeCompatibleWith(MediaType.TEXT_HTML))
                .andReturn();
        String content = result.getResponse().getContentAsString();
        assertNotNull(content);
        assertTrue(content.contains("Hello Spring Boot"));
        assertTrue(content.contains("only shown to users (ROLE_USER)"));
    }
}

我在上述两个测试中得到的错误是：

testLoadRoot(ltistarter.controllers.AppControllersTest) 经过的时间： 0.648 秒

然而，只有在启用两个测试并且包含 springSecurityFilter 时才会发生这种情况。如果我禁用其中一项测试并删除 springSecurityFilter 代码（.addFilter(springSecurityFilter, "/*")）然后我就不再收到该错误了。我怀疑某些东西可能会弄乱 WebApplicationContext 或使安全性处于某种故障状态，但我不确定需要重置或更改什么。

因此，如果我取出第二个测试并删除弹簧安全过滤器，那么我的第一个测试仍然会失败（特别是这个assertTrue(content.contains("Form Login endpoint"))）但我不再收到任何错误。当我查看生成的 HTML 时，我没有看到任何使用sec:authorize属性。

所以我四处搜索并发现了一个我需要添加到的建议springSecurityFilter（我在上面的代码示例中已经完成了），但是，一旦我这样做，我就会立即失败（如果没有它，它甚至不会达到失败的地步）。关于导致该异常的原因以及如何修复它有什么建议吗？

我有一个解决方案，似乎可以完全解决 spring-boot:1.1.4、spring-security:3.2.4 和 thymeleaf:2.1.3 的这个问题（尽管它有点像黑客）。

这是修改后的单元测试类：

@RunWith(SpringJUnit4ClassRunner.class)
@SpringApplicationConfiguration(classes = Application.class)
@WebAppConfiguration
public class AppControllersTest {

    @Autowired
    public WebApplicationContext context;

    @Autowired
    private FilterChainProxy springSecurityFilter;

    private MockMvc mockMvc;

    @Before
    public void setup() {
        assertNotNull(context);
        assertNotNull(springSecurityFilter);
        // Process mock annotations
        MockitoAnnotations.initMocks(this);
        // Setup Spring test in webapp-mode (same config as spring-boot)
        this.mockMvc = MockMvcBuilders.webAppContextSetup(context)
                .addFilters(springSecurityFilter)
                .build();
        context.getServletContext().setAttribute(
            WebApplicationContext.ROOT_WEB_APPLICATION_CONTEXT_ATTRIBUTE, context);
    }
...

这里的魔力是迫使WebApplicationContext.ROOT_WEB_APPLICATION_CONTEXT_ATTRIBUTE作为实际的 Web 应用程序上下文（我注入的）。 这允许实际的 sec: 属性起作用，但我尝试设置权限以便用户登录的第二个测试没有通过（看起来用户仍然是匿名的）。

UPDATE

缺少一些东西（我认为这是 Spring 安全性工作方式的一个差距），但幸运的是相当容易解决（尽管这有点像黑客）。有关该问题的更多详细信息，请参阅：Spring 测试与安全：如何模拟身份验证？

我需要添加一个为测试创建模拟会话的方法。该方法将设置安全性Principal/Authentication并强制SecurityContext进入HttpSession然后可以将其添加到测试请求中（请参阅下面的测试片段和NamedOAuthPrincipal类示例）。

public MockHttpSession makeAuthSession(String username, String... roles) {
    if (StringUtils.isEmpty(username)) {
        username = "azeckoski";
    }
    MockHttpSession session = new MockHttpSession();
    session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());
    Collection<GrantedAuthority> authorities = new HashSet<>();
    if (roles != null && roles.length > 0) {
        for (String role : roles) {
            authorities.add(new SimpleGrantedAuthority(role));
        }
    }
    //Authentication authToken = new UsernamePasswordAuthenticationToken("azeckoski", "password", authorities); // causes a NPE when it tries to access the Principal
    Principal principal = new NamedOAuthPrincipal(username, authorities,
            "key", "signature", "HMAC-SHA-1", "signaturebase", "token");
    Authentication authToken = new UsernamePasswordAuthenticationToken(principal, null, authorities);
    SecurityContextHolder.getContext().setAuthentication(authToken);
    return session;
}

类来创建Principal（通过 ConsumerCredentials 提供 OAuth 支持）。如果您不使用 OAuth，那么您可以跳过 ConsumerCredentials 部分，只需实现主体（但您应该返回 GrantedAuthority 的集合）。

public static class NamedOAuthPrincipal extends ConsumerCredentials implements Principal {
    public String name;
    public Collection<GrantedAuthority> authorities;
    public NamedOAuthPrincipal(String name, Collection<GrantedAuthority> authorities, String consumerKey, String signature, String signatureMethod, String signatureBaseString, String token) {
        super(consumerKey, signature, signatureMethod, signatureBaseString, token);
        this.name = name;
        this.authorities = authorities;
    }
    @Override
    public String getName() {
        return name;
    }
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }
}

然后像这样修改测试（创建会话，然后将其设置在模拟请求上）：

@Test
public void testLoadRootWithAuth() throws Exception {
    // Test basic home controller request with a session and logged in user
    MockHttpSession session = makeAuthSession("azeckoski", "ROLE_USER");
    MvcResult result = this.mockMvc.perform(get("/").session(session))
            .andExpect(status().isOk())
            .andExpect(content().contentTypeCompatibleWith(MediaType.TEXT_HTML))
            .andReturn();
    String content = result.getResponse().getContentAsString();
    assertNotNull(content);
    assertTrue(content.contains("Hello Spring Boot"));
}