SecurityContextHolder返回错误的用户名

时间:2020-06-16 19:15:44

标签: spring-security integration-testing mockmvc

在使用MockMVC测试REST端点时,Spring SecurityContextHolder有时会在同一测试中返回错误的用户名。我有一项服务,其中有一种返回用户名的方法,并且JPA存储库检查用户是否存在(释义):

String username = SecurityContextHolder.getContext().getAuthentication().getName();
Optional<RemoteUser> foundUser = userRepository.findOneByUsername(username);

必要时,测试用@WithMockUser(username = "..." roles="...")注释。之后,将删除每个测试,并刷新Spring应用程序上下文。

@RunWith(SpringRunner.class)
@SpringBootTest(classes = IntegrationTestApplication.class)
public abstract class IntegrationTest {

    ...


    @Resource
    private WebApplicationContext applicationContext;

    protected MockMvc mockMvc;

    ...


    @Before
    public void setUp() {
         mockMvc = MockMvcBuilders.webAppContextSetup(applicationContext).build();
    }

    ...
}

大约97-98%的时间,测试运行良好。但是,有时,Authentication对象返回的用户名不是@WithMockUser批注中定义的用户名。使用日志语句,我什至可以看到已经在其他测试类中运行的用户名。在每次测试之前,都要设置数据库用户,因此,如果返回的用户名不在数据库中,则测试将失败,具体取决于所需用户的情况。

甚至陌生的是,在测试过程中可以多次调用此服务中的此方法,有时用户名正确,然后突然出错。我不知道这怎么可能。我的理解是SecurityContextHolder bean是线程安全的,因此测试的脆弱性使我感到困惑。怎么会这样?

还有一些其他注意事项:

  1. 使用Spring Boot 2.2.7
  2. 测试不是并行运行的。
  3. 上述服务始终是通过字段注入(@Lazy)延迟注入的。我不知道这是否是一个重要的细节,但这不是我的代码,这是唯一使用此批注的服务,为什么我不知道这样做的原因。
  4. 有几种用@Async注释的方法,我认为可能会有副作用,但是我对此无能为力,而且这种思路纯属人。
  5. 我已经调试了TestSecurityContextHolder,并看到确实调用了清除上下文的方法。
  6. 我也确实看到了这个SecurityContextHolder gives wrong User details,但是一个,这个问题没有答案,第二,我的测试用例中没有并发请求。

1 个答案:

答案 0 :(得分:0)

在进一步研究了SecurityContextHolder bean之后,我发现了有关线程可用的不同策略的更多信息。我发现一个设置了这个的豆子:

SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);

这会将安全上下文传播到从主线程派生的所有线程。应该将其从测试上下文中排除,但不是。从测试应用程序上下文中删除此bean之后,以前只是间歇性失败的一个测试用例现在每次都失败。

长话短说,在并行流中多次调用了利用SecurityContextHolder对象的服务方法。到这里来了:Null principal when get security context in parallelStream。将其重构为仅在流外部一次调用它似乎已经解决了该问题。

相关问题