Spring Boot Mock MVC 将过滤器应用于错误的 url 模式

Posted 2023-02-27

【中文标题】Spring Boot Mock MVC 将过滤器应用于错误的 url 模式

【英文标题】：Spring Boot Mock MVC applying filter to wrong url pattern

【发布时间】：2021-10-29 19:30:33

【问题描述】：

我正在向这样的特定 URL 添加管理员过滤器

    @Bean
    public FilterRegistrationBean<AdminFilter> adminFilterRegistrationBean() 
        FilterRegistrationBean<AdminFilter> registrationBean = new FilterRegistrationBean<>();
        AdminFilter adminFilter = new AdminFilter();
        registrationBean.setFilter(adminFilter);
        registrationBean.addUrlPatterns("/api/user/activate");
        registrationBean.addUrlPatterns("/api/user/deactivate");
        registrationBean.setOrder(Integer.MAX_VALUE);
        return registrationBean;
    

当我使用邮递员或浏览器对其进行测试时，过滤器已正确应用，仅适用于那些 URL 模式。

但是，当我为它编写测试时，过滤器也以某种方式应用于另一个 URL。

        this.mockMvc.perform(
                get("/api/issue/").header("Authorization", defaultToken)
            ).andDo(print()).andExpect(status().isOk())
            .andExpect(content().json(""));

此代码在日志中返回代码“403”的错误，因为用户不是管理员，这意味着管理员过滤器应用于模拟 mvc 请求上的“/api/issue/”URL。

我正在使用 @AutoConfigureMockMvc 和 @Autowired 来实例化 mockMVC。

有人知道为什么会这样吗？

---

管理过滤器的完整代码：

@Component
public class AdminFilter extends GenericFilterBean 
    UserService userService;

    @Override
    public void doFilter(
        ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain
    ) throws IOException, ServletException 
        if (userService == null)
            ServletContext servletContext = servletRequest.getServletContext();
            WebApplicationContext webApplicationContext = WebApplicationContextUtils.getWebApplicationContext(servletContext);
            userService = webApplicationContext.getBean(UserService.class);
        

        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

        UUID userId = UUID.fromString((String)httpRequest.getAttribute("userId"));
        User user = userService.fetchUserById(userId);
        if (!user.getIsAdmin()) 
            httpResponse.sendError(HttpStatus.FORBIDDEN.value(), "User is not an admin");
            return;
        
        filterChain.doFilter(servletRequest, servletResponse);
    

测试文件的完整代码：

@SpringBootTest()
@AutoConfigureMockMvc
@Transactional
public class RepositoryIntegrationTests 

    @Autowired
    private MockMvc mockMvc;

    @Autowired
    private RepositoryRepository repositoryRepository;

    @Autowired
    private UserRepository userRepository;

    private String defaultToken;
    private String otherToken;

    @BeforeEach
    void init() 
        User defaultUser = userRepository.save(new User("username", "email@mail.com", "password"));
        System.out.println(defaultUser);
        User otherUser = userRepository.save(new User("other", "other@mail.com", "password"));
        defaultToken = "Bearer " + generateJWTToken(defaultUser);
        otherToken = "Bearer " + generateJWTToken(otherUser);
    

    private String generateJWTToken(User user) 
        long timestamp = System.currentTimeMillis();
        return Jwts.builder().signWith(SignatureAlgorithm.HS256, Constants.API_SECRET_KEY)
            .setIssuedAt(new Date(timestamp))
            .setExpiration(new Date(timestamp + Constants.TOKEN_VALIDITY))
            .claim("userId", user.getId())
            .compact();
    

    @Test
    public void shouldReturnAllRepositoriesAvailableToUser() throws Exception 
        this.mockMvc.perform(
                get("/api/issue/").header("Authorization", defaultToken)
            ).andExpect(status().isOk())
            .andExpect(content().json(""));
    

【问题讨论】：

我非常怀疑这是过滤器，而是您有一个安全配置并且没有正确设置测试，因此它不会进行身份验证。

嗯，错误消息与我在过滤器上写的内容完全相同，它说User is not an admin，当我更改过滤器上的错误消息时，它也会在测试响应中发生变化。

现在你没有提到。你能添加你的测试和更多的配置吗？因为目前没有足够的信息。过滤器的实际作用是什么？

我已编辑问题以包含过滤器和测试的完整代码。基本上过滤器只检查用户的属性 isAdmin。

删除 @Component 您的过滤器已注册两次。一次有过滤器注册，一次没有过滤器注册。当没有过滤器注册时，它会被Spring boot自动添加并注册到/*。

【参考方案1】：

您的AdminFilter 被注册了两次。一次通过FilterRegistrationBean，一次由于它是@Component，因此被组件扫描检测到。

修复做两件事之一

删除@Component 为FilterRegistrationBean重新使用自动创建的实例。

删除@Component 很简单，只需将其从类中删除即可。

对于选项 2，您可以将自动配置的过滤器注入到 FilterRegistrationBean 配置方法中，而不是自己创建。

@Bean
public FilterRegistrationBean<AdminFilter> adminFilterRegistrationBean(AdminFilter adminFilter) 
    FilterRegistrationBean<AdminFilter> registrationBean = new FilterRegistrationBean<>(adminFilter);
    registrationBean.addUrlPatterns("/api/user/activate");
    registrationBean.addUrlPatterns("/api/user/deactivate");
    registrationBean.setOrder(Integer.MAX_VALUE);
    return registrationBean;

这样做的另一个好处是您可以使用自动装配来设置依赖项，而不是在 init 方法中进行查找。我还建议使用OncePerRequestFilter。这将大大清理您的过滤器。

@Component
public class AdminFilter extends OncePerRequestFilter 
    
    private final UserService userService;

    public AdminFilter(UserService userService) 
        this.userService=userService;
    

    @Override
    protected void doFilter(HttpServletRequest httpRequest, HttpServletResponse httpResponse, FilterChain filterChain) throws IOException, ServletException 

        UUID userId = UUID.fromString((String)httpRequest.getAttribute("userId"));
        User user = userService.fetchUserById(userId);
        if (!user.getIsAdmin()) 
            httpResponse.sendError(HttpStatus.FORBIDDEN.value(), "User is not an admin");
            return;
        
        filterChain.doFilter(servletRequest, servletResponse);