使用pytest在REST应用程序中测试权限的最佳方法是什么？

Posted 2021-04-03

我正在尝试使用pytest和Python 3.7自动化基于REST的应用程序。

该应用程序支持3个不同的用户角色（manager，admin，consumer），每个用户都有访问数据的限制。

每个用户角色都有不同的用户名和API密钥。

例如，想象一下应用程序有data1，data2，data3，data4和data5。

• 使用manager角色用户及其API密钥调用API，您将可以访问从data1到data5的所有数据。
• 使用admin角色用户及其API密钥调用API，您将只能访问data3和data4。
• 使用consumer角色用户及其API密钥调用API，您将只能访问data2。

应用程序很复杂，但我正在尝试简化应用程序功能。

使用所有这3种不同的用户角色验证REST API的最佳方法是什么，或者使用某些库的任何建议。

答案

如何按角色分解测试：

assert has_access(consumer, data2) is True
assert has_access(consumer, [data1, data3, data4, data5]) is False

随着应用程序变得更加复杂，下一步可能是从基于角色的权限切换到基于操作的权限，即您可以创建data2权限并仅向消费者授予read权限，而不是让消费者完全访问data2。