如何测试使用 JWT 身份验证的节点 API（使用用户登录获取令牌）

Posted 2023-03-08

【中文标题】如何测试使用 JWT 身份验证的节点 API（使用用户登录获取令牌）

【英文标题】：How to test a Node API that uses JWT Authentication (with User login to get token)

【发布时间】：2016-09-14 01:17:48

【问题描述】：

TL;DR - 在使用 JWT 进行身份验证且令牌本身仅授予用户名/密码登录的节点 API (Express) 中测试资源的方法是什么？

我对测试有点陌生，想得到一些建议。最终目标是拥有一个经过全面测试的 API，然后开始学习如何将其连接到持续集成解决方案。

正在使用的技术

我使用

Express

在

Node

中编写了一个 API。

Mongo

是数据库。

Mongoose

用作 ODM。

jsonwebtoken

包用于创建/验证令牌。

Passport

用于在路由上轻松添加用户身份验证作为 Express 中间件。

API 信息

API 有各种资源——其中的细节对于这个查询并不重要，但为了简单起见，我们假设它是无处不在的 Todo 应用程序。

保存在数据库中的每个资源都与单个用户相关联。

API 使用 JWT 跨各种资源端点进行身份验证。令牌本身包含针对资源存储在 Mongo 数据库中的唯一用户 ID。要获取令牌本身需要用户先注册（返回令牌）然后登录以获取新令牌。

假装代码。

我将简化下面的代码，不使用任何环境配置等...

app.js

var express = require('express');
var app = express();
var mongoose = require('mongoose');
var bodyParser = require('body-parser');
var passport = require('passport');

mongoose.connect('mongodb://localhost/somedatabasename');

app.set('port', process.env.PORT || 3000);
app.use(bodyParser.urlencoded( extended: true ));
app.use(bodyParser.json());

app.use(passport.initialize());
// ... Passport JWT Strategy goes here - omitted for simplicity ...

var userRouter = require('./api/users/routes');
app.use('/users', userRouter);
var todoRouter = require('./api/todos/routes');
app.use('/todos', todoRouter);

app.listen(app.get('port'), function() 
  console.log('App now running on http://localhost:' + app.get('port'));
);

./api/todos/routes.js

var router = require('express').Router();
var controller = require('./controller');
var passport = require('passport');

router.route('/')
  .all(passport.authenticate('jwt',  session: false))
  .get(controller.getAll)
  .post(controller.create);

router.route('/:id')
  .all(passport.authenticate('jwt',  session: false))
  .get(controller.getOne)
  .put(controller.update)
  .delete(controller.delete);

module.exports = router;

./api/users/routes.js

var router = require('express').Router();
var controller = require('./controller');
var passport = require('passport');

router.route('/')
  // User signup
  .post(controller.create);

router.route('/me')
  // User Login
  .post(passport.authenticate('local',  session: false), controller.login)
  // Get current user's data
  .get(passport.authenticate('jwt',  session: false), controller.getOne)
  // Update current user's data
  .put(passport.authenticate('jwt',  session: false), controller.update)
  // Delete current user
  .delete(passport.authenticate('jwt',  session: false), controller.delete);

module.exports = router;

./api/users/model.js

var mongoose = require('mongoose');
var bcrypt = require('bcrypt');

var UserSchema = new mongoose.Schema(
  username: 
    type: String,
    required: true,
    unique: true
  ,
  password: 
    type: String,
    required: true
  
);

// ... for simplicity imagine methods here to
// - hash passwords on a pre save hook using bcrypt
// - compare passwords using bcrypt when logging in

module.exports = mongoose.model('User', UserSchema);

./api/todos/model.js

var mongoose = require('mongoose');
var Schema = mongoose.Schema;

var momentSchema = new Schema(
  title: 
    type: String
  ,

  // Bunch of other fields here...

  _user: 
    type: Schema.Types.ObjectId,
    ref: 'User'
  
);

module.exports = mongoose.model('Moment', momentSchema);

我省略了一些示例代码以保持简洁。

例如，用户的控制器将包含模型，其功能将：

controller.create

- 注册新用户（返回令牌）

controller.login

- 在 Passport Local 确认用户名/密码组合后返回有效令牌

controller.getOne

- 根据从 JWT 令牌中检索到的用户 ID，使用 Mongoose 从 Mongo 返回用户数据。

controller.update

- 使用 Mongoose 在 Mongo 中更新用户数据

controller.delete

- 使用 Mongoose 删除用户在 Mongo 中的数据

Todo 的 控制器会做类似的事情 - 只是通过 Mongoose 与 Mongo 数据交互，但查询将始终包含用户 ID 以将特定（例如）Todo 项目与经过身份验证的用户（经过身份验证通过智威汤逊）。

测试难题

我将如何使用 Mocha、Chai 和 SuperTest 的组合来测试这样的东西？

我会：

在 Mongo 中创建一个测试数据库并且测试中的连接字符串是否不同？这意味着保存存储在数据库中的实际数据以供测试。 以某种方式模拟数据而不使用测试数据库？但是如何处理用户保存/登录以检索令牌？

在开发时与使用某些 CI 工具进行部署时（我什至在我的研究中还没有涉及到的东西）进行测试时，测试在本地如何工作？

任何帮助将不胜感激，我希望我已经为上面的虚拟数据/代码提供了足够的信息：/

【问题讨论】：

嗨！你想通了吗？我也在尝试实现这种测试。

【参考方案1】：

在测试期间，您通常会模拟您的 mongo DB（类似于mongo-mock。这样，您不需要运行实际的数据库来运行测试（您不是在测试数据库，而是在测试您的代码）。

在测试期间，您可以将mongodb 替换为mongo-mock，然后运行您的测试。要获取您的令牌，您需要使用有效的模拟凭据发布到您的 /me URL，该端点将返回该令牌，然后您将在下次调用时使用它来测试您的另一个端点。

在令牌方面，我通常在请求开始时检查它，然后再进入其他端点。 （我没有使用护照，但想法是）：

app.use(validate_jwt_middleware);
app.use('/users', userRouter);

这样，如果令牌无效，它对整个站点都无效，而不仅仅是您的部分。

另外，我使用的不是 SuperTest，而是 chai-http，所以我无法帮助您具体说明。

希望这会有所帮助，