Symfony 单元测试安全(ACL - 注释)
Symfony unit test Security (ACL - Annotation)
我想检查具有访问控制的方法,例如一个方法只被授予一个特定的角色。因此,我知道 Symfony 中的两种方式:
- @方法上方的安全注释 (SensioFrameworkExtraBundle) 或
- 在我的方法中调用 authorization_checker explizit
当谈到单元测试时(对于我的 phpspec,但我认为 phpunit 行为在那种情况下几乎相同),我想测试只有匿名用户才能调用方法。使用数字 2. ,它工作正常。这是我的设置:
RegistrationHandlerSpec:
class RegistrationHandlerSpec extends ObjectBehavior
{
function let(Container $container, AuthorizationCheckerInterface $auth) {
$container->get('security.authorization_checker')->willReturn($auth);
$this->setContainer($container);
}
function it_should_block_authenticated_users(AuthorizationCheckerInterface $auth)
{
$auth->isGranted("ROLE_USER")->willReturn(true);
$this->shouldThrow('Symfony\Component\Security\Core\Exception\AccessDeniedException')->during('process', array());
}
}
在 RegistrationHandler 中,我有以下方法:
class RegistrationHandler
{
public function process()
{
$authorizationChecker = $this->get('security.authorization_checker');
if ($authorizationChecker->isGranted('ROLE_USER')) {
throw new AccessDeniedException();
}
// ...
}
}
好吧,这种方法工作正常 - 但通常情况下,我更喜欢使用 1. 和安全注释(Sensio FrameworkExtraBundle),因此,它不起作用/我不知道为什么在写入时没有触发异常作为注释:
/**
* @Security("!has_role('ROLE_USER')")
*/
public function process()
{
// ...
}
有谁知道如何使用带有@Security 注释的第一种方法来使这个示例工作,这是 symfony 推荐的更具可读性和最佳实践的方式?
在这两种情况下,您都在测试第三方代码(Symfony 框架)提供的行为。遵循规则不要嘲笑你不拥有的东西,你应该编写集成测试而不是编写单元测试。否则,您只会对代码的工作方式做出假设,而无法证明它确实以这种方式工作。
在您的情况下,您的集成测试可以是控制器测试。您可以使用 Web 测试客户端(由 WebTestCase 提供)调用 URL,并验证在某些情况下您会收到 401 或 403 响应。
PHPSpec 是一个单元测试工具(a.k.a。一个设计工具)。您需要使用其他东西(例如 PHPUnit)编写集成测试。我通常在我的项目中安装至少三个测试工具:
- 用于单元测试的 PhpSpec
- 用于集成测试的 PHPUnit
- 用于验收测试(集成测试的一种形式)
我想检查具有访问控制的方法,例如一个方法只被授予一个特定的角色。因此,我知道 Symfony 中的两种方式:
- @方法上方的安全注释 (SensioFrameworkExtraBundle) 或
- 在我的方法中调用 authorization_checker explizit
当谈到单元测试时(对于我的 phpspec,但我认为 phpunit 行为在那种情况下几乎相同),我想测试只有匿名用户才能调用方法。使用数字 2. ,它工作正常。这是我的设置:
RegistrationHandlerSpec:
class RegistrationHandlerSpec extends ObjectBehavior
{
function let(Container $container, AuthorizationCheckerInterface $auth) {
$container->get('security.authorization_checker')->willReturn($auth);
$this->setContainer($container);
}
function it_should_block_authenticated_users(AuthorizationCheckerInterface $auth)
{
$auth->isGranted("ROLE_USER")->willReturn(true);
$this->shouldThrow('Symfony\Component\Security\Core\Exception\AccessDeniedException')->during('process', array());
}
}
在 RegistrationHandler 中,我有以下方法:
class RegistrationHandler
{
public function process()
{
$authorizationChecker = $this->get('security.authorization_checker');
if ($authorizationChecker->isGranted('ROLE_USER')) {
throw new AccessDeniedException();
}
// ...
}
}
好吧,这种方法工作正常 - 但通常情况下,我更喜欢使用 1. 和安全注释(Sensio FrameworkExtraBundle),因此,它不起作用/我不知道为什么在写入时没有触发异常作为注释:
/**
* @Security("!has_role('ROLE_USER')")
*/
public function process()
{
// ...
}
有谁知道如何使用带有@Security 注释的第一种方法来使这个示例工作,这是 symfony 推荐的更具可读性和最佳实践的方式?
在这两种情况下,您都在测试第三方代码(Symfony 框架)提供的行为。遵循规则不要嘲笑你不拥有的东西,你应该编写集成测试而不是编写单元测试。否则,您只会对代码的工作方式做出假设,而无法证明它确实以这种方式工作。
在您的情况下,您的集成测试可以是控制器测试。您可以使用 Web 测试客户端(由 WebTestCase 提供)调用 URL,并验证在某些情况下您会收到 401 或 403 响应。
PHPSpec 是一个单元测试工具(a.k.a。一个设计工具)。您需要使用其他东西(例如 PHPUnit)编写集成测试。我通常在我的项目中安装至少三个测试工具:
- 用于单元测试的 PhpSpec
- 用于集成测试的 PHPUnit
- 用于验收测试(集成测试的一种形式)