31

最近我们为我们的项目引入了 CSRF 保护,它使用了 spring security 3.2。

启用 CSRF 后,一些单元测试失败,因为请求中不存在 csrf 令牌。我在“_csrf”参数中放入了一些虚拟值,但它不起作用。

无论如何我可以在发送请求之前获得 csrf 令牌(在单元测试时)?

4

3 回答 3

56

解决这个问题的方法是:

import static org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors.*;

...

@Test
public void testLogin() throws Exception {
    this.mockMvc.perform(post("/login")
            .param("username", "...")
            .param("password", "...")
            .with(csrf()))
        .andExpect(status().isFound())
        .andExpect(header().string("Location", "redirect-url-on-success-login"));
}

重要的部分是:.with(csrf())这会将预期的_csrf参数添加到查询中。

csrf()静态方法由提供spring-security-test

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-test</artifactId>
    <version>5.3.5.RELEASE / 5.4.1</version>
    <scope>test</scope>
</dependency>

您的单元测试将需要以下导入才能访问它:

 import static org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors.*;
于 2015-07-10T10:29:20.673 回答
3

我通过创建自定义 CsrfTokenRepository 实现找到了解决此问题的方法。这将始终生成一个常量令牌(如“test_csrf_token”)。所以我们可以将该令牌作为请求参数(因为它不会改变)与其他表单参数一起发送。以下是我为解决我的问题而采取的步骤。

  1. 创建一个实现 CsrfTokenRepository 接口的类。使用一些常量令牌值实现生成令牌。

    public CsrfToken generateToken(HttpServletRequest request) {
   return new DefaultCsrfToken(headerName, parameterName, "test_csrf_token");
}

@Override
public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {
    if (token == null) {
        HttpSession session = request.getSession(false);
        if (session != null) {
            session.removeAttribute(sessionAttributeName);
        }
    } else {
        HttpSession session = request.getSession();
        session.setAttribute(sessionAttributeName, token);
    }
 }

 @Override
 public CsrfToken loadToken(HttpServletRequest request) {
    HttpSession session = request.getSession(false);
    if (session == null) {
       return null;
    }
    return (CsrfToken) session.getAttribute(sessionAttributeName);
 }

  2. 在您的安全配置中添加对 csrf 标记的引用。

    <http>
   <csrf token-repository-ref="customCsrfTokenRepository" />
   ....
</http>

<beans:bean id="customCsrfTokenRepository" class="com.portal.controller.security.TestCsrfTokenRepository"></beans:bean>

  3. 通过添加 csrf 请求参数来修改您的测试用例。

    request.addParameter("_csrf", "test_csrf_token");
于 2014-09-02T06:02:12.620 回答
2

除了@Thierry 答案之外,还有类似的反应堆栈解决方案。

调用后端时WebTestClient

import org.springframework.security.test.web.reactive.server.SecurityMockServerConfigurers.csrf

        // ...
        webTestClient.mutateWith(csrf()).post()...
于 2019-02-05T07:21:28.290 回答