Question

我玩Play 2.0，Scala版本。目前，我分析了Zentasks sample app。

此应用程序的一部分是Secured特征主要涵盖的身份验证机制。我想知道如何测试安全行动，例如。来自Projects controller的index。

对于不安全的行动，我可能会做类似

的事情

val result = controllers.Projects.index(FakeRequest())

运行一个动作并获得结果。

如果采取安全措施，我该怎么做？

免责声明：我对Scala和Play都很陌生，因此所有提示都非常有价值。谢谢！

Answer 1

Playframewrk v2.1中有一个fix for the integrated approach to this我有backport of the fix on the 2.0.x branch

在它合并和发布之前，这就是我所做的（它适用于Play 2.0.3+）：

我在libs包中定义了我自己的Helpers对象。

package libs

import play.api.mvc._

import play.api.libs.iteratee._
import play.api.libs.concurrent._
import play.api.test._

object Helpers {

  def routeAndCall[T](request: FakeRequest[T]): Option[Result] = {
    routeAndCall(this.getClass.getClassLoader.loadClass("Routes").asInstanceOf[Class[play.core.Router.Routes]], request)
  }
  /**
   * Use the Router to determine the Action to call for this request and executes it.
   */
  def routeAndCall[T, ROUTER <: play.core.Router.Routes](router: Class[ROUTER], request: FakeRequest[T]): Option[play.api.mvc.Result] = {
    val routes = router.getClassLoader.loadClass(router.getName + "$").getDeclaredField("MODULE$").get(null).asInstanceOf[play.core.Router.Routes]
    routes.routes.lift(request).map {
      case a: Action[_] =>
        val action = a.asInstanceOf[Action[T]]
        val parsedBody: Option[Either[play.api.mvc.Result, T]] = action.parser(request).fold(
          (a, in) => Promise.pure(Some(a)),
          k => Promise.pure(None),
          (msg, in) => Promise.pure(None)
        ).await.get

        parsedBody.map{resultOrT =>
          resultOrT.right.toOption.map{innerBody =>
            action(FakeRequest(request.method, request.uri, request.headers, innerBody))
          }.getOrElse(resultOrT.left.get)
        }.getOrElse(action(request))
    }
  }

}

然后在我的测试中，我导入了我的助手和整个游戏助手上下文，除了routeAndCall：

import libs.Helpers._
import play.api.test.Helpers.{routeAndCall => _,_}

然后我使用Around设置我的应用程序（我需要提供application.secret，因为我将经过身份验证的用户名存储在基于签名cookie的会话中）

def appWithSecret():Map[String,String]={
    Map(("application.secret","the answer is 42 !"))
  }


  object emptyApp extends Around {
    def around[T <% Result](t: => T) = {
      running(FakeApplication(additionalConfiguration = inMemoryMongoDatabase("emptyApp")++appWithSecret())) {
        User(new ObjectId, "Jane Doe", "foobar@example.com", "id1").save()
        t // execute t inside a http session
      }
    }
  }

这允许我编写以下测试：

"respond to the index Action" in emptyApp {
      val request: FakeRequest[AnyContent] = FakeRequest(GET, "/expenses").withSession(("email", "foobar@example.com"))
      val Some(result) = routeAndCall(request)

      status(result) must equalTo(OK)
      contentType(result) must beSome("application/json")
      charset(result) must beSome("utf-8")
      contentAsString(result) must contain("Hello Bob")
    }

它允许您运用受保护的代码，即使它不是单元测试。

Answer 2

好吧，我也不是很好的专家，但这是一个想法。

创建一个trait InSecure trait extends Secured，它会覆盖安全操作并始终允许访问。然后，您可以在测试中创建object InSecureProjects extends Projects with InSecture，这应该仅覆盖安全检查，并让您在没有任何安全性的情况下测试操作。

现在，您不是在Projects上运行测试，而是在InSecureProjects上运行它们。您可以对其他安全控制器执行完全相同的操作。

我没有测试过，所以让我知道它是否有效;）

如何从Play 2.0测试Zentasks示例应用程序

2 个答案: