我想检查具有访问控制的方法,例如方法仅授予特定角色。因此,我在Symfony中知道两种方式:
当谈到单元测试时(对于我的案例phpspec,但我认为phpunit行为在这种情况下几乎相同),我想测试只有匿名用户应该能够调用方法。数字2,它工作正常。在这里我的设置:
RegistrationHandlerSpec:
class RegistrationHandlerSpec extends ObjectBehavior
{
function let(Container $container, AuthorizationCheckerInterface $auth) {
$container->get('security.authorization_checker')->willReturn($auth);
$this->setContainer($container);
}
function it_should_block_authenticated_users(AuthorizationCheckerInterface $auth)
{
$auth->isGranted("ROLE_USER")->willReturn(true);
$this->shouldThrow('Symfony\Component\Security\Core\Exception\AccessDeniedException')->during('process', array());
}
}
在RegistrationHandler中,我有以下方法:
class RegistrationHandler
{
public function process()
{
$authorizationChecker = $this->get('security.authorization_checker');
if ($authorizationChecker->isGranted('ROLE_USER')) {
throw new AccessDeniedException();
}
// ...
}
}
嗯,这种方法运行正常 - 但通常情况下,我更喜欢使用1.带安全性注释(Sensio FrameworkExtraBundle),因此,它不起作用/我不知道为什么没有Exception得到当它被写为注释时触发:
/**
* @Security("!has_role('ROLE_USER')")
*/
public function process()
{
// ...
}
有没有人知道如何通过使用@Security注释的第一种方法来使这个例子起作用,这种方法更具可读性和推荐symfony的最佳实践?
答案 0 :(得分:6)
在这两种情况下,您都要测试第三方代码(Symfony框架)提供的行为。遵循规则不要嘲笑你不拥有的,而不是编写单元测试,你应该编写一个集成测试。否则你只会假设代码是如何工作的,没有证明它真的有效。
在您的情况下,您的集成测试可能是控制器测试。您使用网络测试客户端(由WebTestCase提供)调用该网址,并确认在某些情况下您获得了401或403的响应。
PHPSpec是一种单元测试工具(也就是设计工具)。您需要使用其他东西编写集成测试(例如PHPUnit)。我的项目通常至少安装了三个测试工具: