我有一个实现REST API的烧瓶应用程序。出于原因,我使用HTTP摘要式身份验证。我使用Flask-HTTPAuth库来实现摘要认证,它可以工作;但是,我无法在单元测试中进行身份验证。
对于单元测试,在设置身份验证之前,我做了类似的事情:
class FooTestCase(unittest.TestCase):
def setUp(self):
self.app = foo.app.test_client()
def test_root(self):
response = self.app.get('/')
# self.assert.... blah blah blah
在实施身份验证之前,这很好。现在我得到一个401,这是一个摘要身份验证请求的初始响应。我已经搜索过并搜索了一些与http basic auth相关的建议(使用参数data = {#various stuff}和follow_redirects = True),但我没有成功。
在这种情况下,有没有人知道如何实施单元测试?
答案 0 :(得分:5)
不幸的是,在Flask-HTTPAuth中,摘要认证更难以测试或绕过。
一个选项是实际计算正确的哈希值并在测试期间执行完整身份验证。您可以在Flask-HTTPAuth unit tests中看到一些相关示例。这是一个:
def test_digest_auth_login_valid(self):
response = self.client.get('/digest')
self.assertTrue(response.status_code == 401)
header = response.headers.get('WWW-Authenticate')
auth_type, auth_info = header.split(None, 1)
d = parse_dict_header(auth_info)
a1 = 'john:' + d['realm'] + ':bye'
ha1 = md5(a1).hexdigest()
a2 = 'GET:/digest'
ha2 = md5(a2).hexdigest()
a3 = ha1 + ':' + d['nonce'] + ':' + ha2
auth_response = md5(a3).hexdigest()
response = self.client.get(
'/digest', headers={
'Authorization': 'Digest username="john",realm="{0}",'
'nonce="{1}",uri="/digest",response="{2}",'
'opaque="{3}"'.format(d['realm'],
d['nonce'],
auth_response,
d['opaque'])})
self.assertEqual(response.data, b'digest_auth:john')
在此示例中,用户名为john,密码为bye。据推测,您可以为用户提供一些可用于单元测试的预定凭据,因此您可以在上面的a1变量中插入这些凭据。此认证舞蹈可以包含在辅助功能中,该功能包含在测试期间发送请求,这样您就不必在每次测试中重复此操作。
答案 1 :(得分:0)
在测试中使用真实身份验证不是必需的。在运行测试时禁用身份验证或创建测试用户并在测试中使用此测试用户。
例如:
@digest_auth.get_password
def get_pw(username):
if running_from_tests():
if username == 'test':
return 'testpw'
else:
return None
else:
# ... normal auth that you have
此测试用户必须永远不能在生产中激活:)对于running_from_tests()的实现,请参阅Test if code is executed from within a py.test session(如果您使用的是py.test)。