中间件 HTTP 测试在不应该通过的时候通过了
Middleware HTTP test passing when it shouldn't
我写了一些中间件来检查以确保 JWT 令牌有效:
func JwtVerify(next http.Handler) http.Handler {
return http.HandlerFunc(func(rw http.ResponseWriter, r *http.Request) {
//Get the token from the header
header := r.Header.Get("Authorization")
//If Authorization is empty, return a 403
if header == "" {
rw.WriteHeader(http.StatusForbidden)
json.NewEncoder(rw).Encode(ErrorMsg{ Message: "Missing Authentication Token" })
return
}
header = strings.Split(header, "Bearer ")[1]
token, err := jwt.Parse(header, func(token *jwt.Token) (i interface{}, err error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
}
// TODO: REMOVE THE SECRET
return []byte("MyTestSecret"), nil
})
// Return the error
if err != nil {
rw.WriteHeader(http.StatusForbidden)
json.NewEncoder(rw).Encode(ErrorMsg{Message: err.Error()})
return
}
if token.Valid {
log.Println("JWT Token is valid")
next.ServeHTTP(rw, r)
}
})
}
我已经尝试为此编写了一些测试,但我只知道哪里出错了,测试应该会失败,因为令牌无效但它仍然通过:
func TestJwtVerify(t *testing.T) {
token := "Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE1ODcwNTIzMTcsImV4cCI6MTU4NzA1MjkxNywic2Vzc2lvbi1kYXRhIjoiVGVzdC5NY1Rlc3RGYWNlQG1haWwuY29tIn0.f0oM4fSH_b1Xi5zEF0VK-t5uhpVidk5HY1O0EGR4SQQ"
req, err := http.NewRequest("GET", "/jwt", nil)
if err != nil {
t.Fatal(err)
}
req.Header.Set("Authorization", token)
testHandler := http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
if r.Response.StatusCode == 403 {
t.Fatalf("Response should be 200 for a valid JWT Token")
}
})
rw := httptest.NewRecorder()
handler := JwtVerify(testHandler)
handler.ServeHTTP(rw, req)
}
有人可以解释我哪里错了吗?
你有几个问题。
首先,您的测试提供了一个 testHandler 函数,它应该 运行 出现任何错误,但是您的 JwtVerify 函数仅 运行 如果令牌是下一个处理程序有效:
if token.Valid {
log.Println("JWT Token is valid")
next.ServeHTTP(rw, r)
}
所以当令牌无效时,您已确保 testHandler 永远不会 运行,因此您的测试不会失败。
你的第二个问题在这里:
if r.Response.StatusCode == 403 {
t.Fatalf("Response should be 200 for a valid JWT Token")
}
根据 http.Request 的文档:
Response is the redirect response which caused this request to be
created. This field is only populated during client redirects.
并且由于此请求不是对客户端重定向的响应,因此不会填充 Response 字段,特别是状态代码不会由您写入的 headers 确定你的 http.ResponseWriter。一般情况下你不能通过这种方式获取状态码,正常的做法是让一个更早的中间件包装http.ResponseWriter,并在写入状态[=]的中间件之后从那个包装器编写器获取状态36=].
如评论中所述,解决此问题的正确方法是检查您的 httptest.ResponseRecorder 状态代码,因为其目的是在测试期间检查 HTTP 响应。
我写了一些中间件来检查以确保 JWT 令牌有效:
func JwtVerify(next http.Handler) http.Handler {
return http.HandlerFunc(func(rw http.ResponseWriter, r *http.Request) {
//Get the token from the header
header := r.Header.Get("Authorization")
//If Authorization is empty, return a 403
if header == "" {
rw.WriteHeader(http.StatusForbidden)
json.NewEncoder(rw).Encode(ErrorMsg{ Message: "Missing Authentication Token" })
return
}
header = strings.Split(header, "Bearer ")[1]
token, err := jwt.Parse(header, func(token *jwt.Token) (i interface{}, err error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
}
// TODO: REMOVE THE SECRET
return []byte("MyTestSecret"), nil
})
// Return the error
if err != nil {
rw.WriteHeader(http.StatusForbidden)
json.NewEncoder(rw).Encode(ErrorMsg{Message: err.Error()})
return
}
if token.Valid {
log.Println("JWT Token is valid")
next.ServeHTTP(rw, r)
}
})
}
我已经尝试为此编写了一些测试,但我只知道哪里出错了,测试应该会失败,因为令牌无效但它仍然通过:
func TestJwtVerify(t *testing.T) {
token := "Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE1ODcwNTIzMTcsImV4cCI6MTU4NzA1MjkxNywic2Vzc2lvbi1kYXRhIjoiVGVzdC5NY1Rlc3RGYWNlQG1haWwuY29tIn0.f0oM4fSH_b1Xi5zEF0VK-t5uhpVidk5HY1O0EGR4SQQ"
req, err := http.NewRequest("GET", "/jwt", nil)
if err != nil {
t.Fatal(err)
}
req.Header.Set("Authorization", token)
testHandler := http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
if r.Response.StatusCode == 403 {
t.Fatalf("Response should be 200 for a valid JWT Token")
}
})
rw := httptest.NewRecorder()
handler := JwtVerify(testHandler)
handler.ServeHTTP(rw, req)
}
有人可以解释我哪里错了吗?
你有几个问题。
首先,您的测试提供了一个 testHandler 函数,它应该 运行 出现任何错误,但是您的 JwtVerify 函数仅 运行 如果令牌是下一个处理程序有效:
if token.Valid {
log.Println("JWT Token is valid")
next.ServeHTTP(rw, r)
}
所以当令牌无效时,您已确保 testHandler 永远不会 运行,因此您的测试不会失败。
你的第二个问题在这里:
if r.Response.StatusCode == 403 {
t.Fatalf("Response should be 200 for a valid JWT Token")
}
根据 http.Request 的文档:
Response is the redirect response which caused this request to be created. This field is only populated during client redirects.
并且由于此请求不是对客户端重定向的响应,因此不会填充 Response 字段,特别是状态代码不会由您写入的 headers 确定你的 http.ResponseWriter。一般情况下你不能通过这种方式获取状态码,正常的做法是让一个更早的中间件包装http.ResponseWriter,并在写入状态[=]的中间件之后从那个包装器编写器获取状态36=].
如评论中所述,解决此问题的正确方法是检查您的 httptest.ResponseRecorder 状态代码,因为其目的是在测试期间检查 HTTP 响应。