为什么 Rails RSpec 响应显示 302 而不是 401？

我已经被这个问题困扰好几天了，我不知道它出了什么问题。几个月前我开始使用 Ruby on Rails，目前正在学习使用 API 进行身份验证。我看过其他类似的主题here https://stackoverflow.com/questions/9315992/expected-response-to-be-a-success-but-was-302 and there https://stackoverflow.com/questions/11391818/expected-response-to-be-a-success-but-was-302但他们都没有帮助。

我的问题是每当我在此代码上运行 RSpec （位于spec/api/v1/controllers/posts_controller_spec.rb)

require 'rails_helper'

RSpec.describe Api::V1::PostsController, type: :controller do
  let(:my_user) { create(:user) }
  let(:my_topic) { create(:topic) }
  let(:my_post) { create(:post, topic: my_topic, user: my_user) }

  context "unauthenticated user" do

    it "PUT update returns http unauthenticated" do
      put :update, topic_id: my_topic.id, id: my_post.id, post: {title: my_post.title, body: my_post.body}
      expect(response).to have_http_status(401)
    end
    ...

我不断得到

...
spec/api/v1/controllers/posts_controller_spec.rb -e "unauthenticated user"
Run options: include {:full_description=>/unauthenticated\ user/}
FFF

Failures:

  1) PostsController unauthenticated user PUT update returns http unauthenticated
     Failure/Error: expect(response).to have_http_status(401)
       expected the response to have status code 401 but it was 302
     # ./spec/api/v1/controllers/posts_controller_spec.rb:12:in `block (3 levels) in <top (required)>'

如果这有帮助的话，我的控制者，app/controllers/api/v1/posts_controller_spec.rb has

class Api::V1::PostsController < Api::V1::BaseController
  before_action :authenticate_user, except: [:index, :show]
  before_action :authorize_user, except: [:index, :show]


     def update
       post = Post.find(params[:id])

       if post.update_attributes(post_params)
         render json: post.to_json, status: 200
       else
         render json: {error: "Post update failed", status: 400}, status: 400
       end
     end
    ...

我的基地控制器

class Api::V1::BaseController < ApplicationController

  skip_before_action :verify_authenticity_token

  rescue_from ActiveRecord::RecordNotFound, with: :not_found
  rescue_from ActionController::ParameterMissing, with: :malformed_request

  def authenticate_user
    authenticate_or_request_with_http_token do |token, options|
      @current_user = User.find_by(auth_token: token)
    end
  end

  def authorize_user
    unless @current_user && @current_user.admin?
      render json: {error: "Not Authorized", status: 403}, status: 403
    end
  end

  def malformed_request
    render json: {error: "The request could not be understood by the server due to malformed syntax. The client SHOULD NOT repeat the request without modifications.", status: 400}, status: 400
  end

  def not_found
    render json: {error: "Record not found", status: 404}, status: 404
  end
end

最后，routes.rb 显示：

  namespace :api do
   namespace :v1 do
     resources :users, only: [:index, :show, :create, :update]
     resources :topics, except: [:edit, :new] do
       resources :posts, only: [:update, :create, :destroy]
     end
   end
 end

我有一种强烈的预感，我的 before_action 是罪魁祸首，但我无法确定我做错了什么。我使用类似的 RSpec 测试对主题（帖子嵌套在主题中）做了类似的事情，我的主题 RSpec 通过了，而我的帖子 RSpec 惨败。

有人可以帮我指出我做错了什么，以及如何通过 RSpec 测试而不显示 302 状态代码吗？

作为额外的，why是否显示 302 状态码？

问题是你正在使用

before_action :authenticate_user, except: [:index, :show]，可能是 Devise 的帮手，对吗？如果是这样，当您尝试在未登录的情况下访问资源时，此帮助程序将redirect您进入登录页面，这是您使用浏览器时期望发生的事情，但这不是您的情况。您可以找到一些替代方案，覆盖设计行为，我的解决方案是定义我的authenticate_user!如果用户未登录，则使用另一个设计辅助方法返回 401 方法，如下所示：

def authenticate_user!
  if user_signed_in?
    @user = current_user
  else
    head :unauthorized
  end 
end 

这是对我有用的情况，你的可能会有所不同。