1

我在我的 WebApi 中使用ThinkTecture 的基于资源的授权

我正在尝试测试我需要检查函数内部访问权限的控制器之一。但是现在,我不能再测试这个函数了,因为我不能模拟一个扩展方法,因为它是一个 nuget 方法,我不能修改这个类来注入另一个值。

我的控制器如下所示:

public class AlbumController : ApiController
{
    public async Task<IHttpActionResult> Get(int id)
    {
        if (!(await Request.CheckAccessAsync(ChinookResources.AlbumActions.View, 
                                            ChinookResources.Album,
                                            id.ToString())))
        {
            return this.AccessDenied();
        }

        return Ok();
    }
}

ResourceAuthorizationManager 像这样设置到启动中:

app.UseResourceAuthorization(new ChinookAuthorization());

ThinkTecture 项目的源代码在这里

谢谢您的帮助

4

3 回答 3

1

你总是可以把这个静态调用包装成你的一些抽象:

public interface IAuthorizationService
{
    Task<bool> CheckAccessAsync(string view, string album, string id);
}

然后有一些实现将调用委托给静态扩展方法。但是现在由于您将使用 ,因此IAuthorizationService您可以在单元测试中自由地模拟该CheckAccessAsync方法。

就测试这个抽象的实现而言,您可能不需要它,因为它只是作为 ThinkTecture 类的桥梁,而这些类应该已经过很好的测试。

于 2015-01-28T16:00:27.030 回答
1

我终于解决了我的问题。真正的问题是 CheckAccess 方法是一个扩展。(对于我的回答,每个班级都会参考可以在此处找到的示例)

为了停止使用扩展方法,我将这些方法添加到我的 chinookAuthorization

   public Task<bool> CheckAccessAsync(ClaimsPrincipal user, string action, params string[] resources)
    {
        var ctx = new ResourceAuthorizationContext(user ?? Principal.Anonymous, action, resources);

        return CheckAccessAsync(ctx);
    }

    public Task<bool> CheckAccessAsync(ClaimsPrincipal user, IEnumerable<Claim> actions, IEnumerable<Claim> resources)
    {
        var authorizationContext = new ResourceAuthorizationContext(
            user ?? Principal.Anonymous,
            actions,
            resources);

        return CheckAccessAsync(authorizationContext);
    }

然后我将控制器更改为拥有 chinookAuthorization 的实例

public class AlbumController : ApiController
{
    protected readonly chinookAuthorization chinookAuth;

    public BaseApiController(chinookAuthorization chinookAuth)
    {
        if (chinookAuth == null)
            throw new ArgumentNullException("chinookAuth");

        this.chinookAuth = chinookAuth;
    }
    public async Task<IHttpActionResult> Get(int id)
    {
        if (!(await chinookAuth.CheckAccessAsync((ClaimsPrincipal)RequestContext.Principal, ChinookResources.AlbumActions.View, 
                                        ChinookResources.Album,
                                        id.ToString())))
        {
            return this.AccessDenied();
        }

        return Ok();
    }
}

而且我仍在将我的 ChinookAuthorization 声明到我的 owin 启动中,以继续对我的属性检查访问调用使用相同的模式。

所以现在,我只需要模拟 chinookAuthorization,模拟调用的响应以返回 true,就是这样!

于 2015-01-29T16:25:03.513 回答
1

ResourceAuthorizationAttribute 使用 Reqest.CheckAccess 所以我认为抽象出实现然后将其注入控制器不是一个好的解决方案,因为理论上, ResourceAuthorizationAttribute 和创建的服务可以使用 CheckAccess 方法的不同实现。

我通过创建一个 BaseController 采取了一种更简单的方法

public class BaseController : ApiController
{
        public virtual Task<bool> CheckAccessAsync(string action, params string[] resources)
        {
            return Request.CheckAccessAsync(action, resources);
        }
}

并使 CheckAccessAsync 虚拟化,以便我可以模拟它(例如 Moq)。

然后从我的控制器

public class AlbumController : BaseController
{
    public async Task<IHttpActionResult> Get(int id)
    {
        if (!(await CheckAccessAsync(ChinookResources.AlbumActions.View, 
                                            ChinookResources.Album,
                                            id.ToString())))
        {
            return this.AccessDenied();
        }

        return Ok();
    }
}

然后对控制器进行单元测试很简单:

[TestClass]
public class TestClass
{
    Mock<AlbumController> mockedTarget
    AlbumController target

    [TestInitialize]
    public void Init()
    {
        mockedTarget = new Mock<AlbumController>();
        target = mockedTarget.Object;
    }

    [Test]
    public void Test()
    {
        mockedTarget.Setup(x => x.CheckAccessAsync(It.IsAny<string>(),
            It.IsAny<string[]>()))
            .Returns(Task.FromResult(true));

        var result = target.Get(1);

        // Assert
    }

}
于 2015-12-11T15:08:07.963 回答