unit-testing - 在 grails + acegi 中测试 securityConfig 映射

Question

我正在为一个仍然使用 Acegi 插件(而不是较新的 Spring Core Security 插件)的项目编写测试用例，截至目前，我已经成功完成了本网站的工作(http://www.zorched.net/2008/09/01/grails-testing-acegi-security/)

建议检测当前登录的用户。但是，在我的 Controller 中，我有如下内容:

def list = {
     // code for an "admin account"
}

def list_others = {
     // code for other accounts
}

现在，我不在 Controller 中检查登录用户。相反，我在 SecurityConfig.groovy 中定义了这些，例如:

security {
     ...
     requestMapString = """\
          /someController/list=ROLE_ADMIN
          /someController/list_others=ROLE_OTHERS
     """
     ...
}

因此，如果我有一个看起来像这样的测试:

void testTrial() {
     // define here that otherUser has a role of ROLE_OTHERS

     authenticate(otherUser, "other") // this calls the authenticate methode in the site I gave earlier
     controller.list()

     // I do an assertion here to check where this goes to
}

事情是，当我做断言时，当然列表会告诉我它转发到 list.gsp... 即使“登录”用户具有 ROLE_OTHERS 角色而不是管理员。

但是，我需要的是如何测试登录用户只能访问什么？在这种情况下，假设调用是对 *.list() 的调用并且登录用户具有 ROLE_OTHERS 角色，我应该被转发到“拒绝”页面。

帮助？谢谢!

Answer 1

您需要为此进行功能测试。单元测试只是 Groovy 或 Java 类加上一些模拟。没有 Spring 应用程序上下文、没有 Hibernate、没有数据库，对于这种情况最重要的是没有插件。

集成测试为您提供了更多功能，但即使有请求也大多是模拟的，并且由于没有容器，因此不会触发过滤器。 Spring Security(Acegi 插件使用)基于一系列 servlet 过滤器。因此，如果您想测试您的安全规则是否得到正确应用，您将需要一个正在运行的服务器，因此需要进行功能测试。

功能测试有多种选择，最流行的是 WebTest:http://grails.org/plugin/webtest ，功能测试插件:http://grails.org/plugin/functional-test ，以及 Selenium RC 插件:http://grails.org/plugin/selenium-rc .

最新的是 Geb:http://grails.org/plugin/geb .手册位于 http://geb.codehaus.org/最近有一篇关于它的博客文章:http://blog.springsource.com/2010/08/28/the-future-of-functional-web-testing/