공식문서 한글번역

Testing

스프링 시큐리티를 테스트하는 방법을 설명합니다. 공식 문서에 있는 “Testing” 챕터를 한글로 번역한 문서입니다.

godekdls.github.io

# 단위테스트

@WebMvcTest의 경우 테스트에 Security 도 잘 적용되므로 Spring-Security-Test 라이브러리에 있는 기능을 적절하게 사용하면 된다.

공식문서링크

요약하자면 Web과 관련된 빈들 (필터, 인터셉터, 아규먼트리졸버)만 등록한다.

@ControllerAdvice, @JsonComponent, Converter, Filter, WebMvcConfigurer, HandlerMethodArgumentResolver

하지만 웹과 관련없는 빈들(@Component, @Service, @Repository...)는 등록하지 않는다.

import static org.springframework.security.test.
           web.servlet.request.SecurityMockMvcRequestPostProcessors.csrf;

@Test
@DisplayName("입력값에 오류가 있다면 회원가입에 실패하고 가입페이지로 리다이렉션 한다.")
void signup_wrong_input() throws Exception {
    // Act
    var actions = mockMvc.perform(post("/sign-up")
        .param("nickname", "jiwon")
        .param("email", "email...")
        .param("password", "12345")
        .with(csrf())); // security.test 의 CSRF 설정

    // Assert
    actions.andDo(print())
        .andExpect(status().isOk())
        .andExpect(view().name("account/sign-up"));
}

🧨 만약 SecurityConfiguration에 다른 빈의 의존성이 있다면, @WebMvcTest로 띄울 시 빈을 찾을 수 없다는 예외가 발생한다. 이 경우 아래와 같이 수동으로 제외시켜주자. (컨트롤러 기능을 테스트하기 위함이니까)

@WebMvcTest(
    controllers = AccountController.class,
    excludeFilters = {
        @ComponentScan.Filter(type = FilterType.ASSIGNABLE_TYPE, classes = SecurityConfig.class)}
)
final class AccountControllerTest {
}

만약, 아예 Controller 테스트시 SpringSecurity 설정을 제외하고 싶다면 아래와 같이 사용하면 된다.

@WebMvcTest(
    controllers = AccountController.class,
    excludeAutoConfiguration = SecurityAutoConfiguration.class, // 추가
    excludeFilters = {
        @ComponentScan.Filter(type = FilterType.ASSIGNABLE_TYPE, classes = SecurityConfig.class)}
)

또는 테스트용 예외 설정을 따로 추가하는 방법도 있다.

@WebMvcTest(AccountController.class)
final class AccountControllerTest {

    @TestConfiguration
    static class DefaultConfigWithoutCsrf extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(final HttpSecurity http) throws Exception {
            super.configure(http);
            http.csrf().disable();
        }

        public void configure(WebSecurity web) throws Exception {
            web.ignoring().requestMatchers(PathRequest.toStaticResources().atCommonLocations());
            web.ignoring().antMatchers("/api/auth/**"); // 테스트용 API의 Security 비활성화
        }
    }
	
    @Test
    void test() {...}
}

@WithMockUser

다른 방법으로는 MockMvc에 가짜 유저를 등록하는 방법도 있다. Spring Security 4.1 부터 테스트에 지원하는 기능이다.

참고로 (2022.03)기준 최신버전은 Spring Seucirty 5.3이다

testImplementation 'org.springframework.security:spring-security-test' // 여기에 있는 기능

@WithAnonymousUser // 익명유저의 인증정보를 설정하기 위한 어노테이션
@WithUserDetails // UserDetailsService를 통해서 유저정보를 취득하여 설정하기 위한 어노테이션
@WithMockUser // 별도의 UserDetailsService와 같은 스텁을 제공하지 않아도 간단하게 인증정보를 설정하기 위한 어노테이션

사용법은 mockMvc에서 .with(user) 로 등록하거나, @WithMockUser, @WithAnonymousUser로 추가한다.

@Test
public void index_anonymous() throws Exception {
    mockMvc.perform(get("/").with(anonymous()))
            .andDo(print())
            .andExpect(status().isOk());
}

@WithAnonymousUser
public void index_anonymous() throws Exception {
    mockMvc.perform(get("/"))
            .andDo(print())
            .andExpect(status().isOk());
}

@Test
public void index_user() throws Exception {
    mockMvc.perform(get("/")
            .with(user("jake").roles("USER")))
            .andDo(print())
            .andExpect(status().isOk());
}

@Test
public void admin_user() throws Exception {
    mockMvc.perform(get("/admin")
            .with(user("jake").roles("USER")))
            .andDo(print())
            .andExpect(status().isForbidden());
}

@Test
@WithMockUser(username = "jake", roles = "USER")
public void index_user() throws Exception {
    mockMvc.perform(get("/"))
            .andDo(print())
            .andExpect(status().isOk());
}

@Test
@WithMockUser(username = "jake", roles = "USER")
public void admin_user() throws Exception {
    mockMvc.perform(get("/admin"))
            .andDo(print())
            .andExpect(status().isForbidden());
}

매번 똑같은 유저정보를 입력하는게 번거롭다면, 테스트용 어노테이션을 아래와 같이 만들어서 사용해도 된다.

@Retention(RetentionPolicy.RUNTIME)
@WithMockUser(username = "jake", roles = "USER")
public @interface WithUser {
}

@Test
@WithUser
public void index_user() throws Exception {
   	mockMvc.perform(get("/"))
    	.andDo(print())
        .andExpect(status().isOk());
}

잘 사용은 안하지만, @WithUserDeatils 는 아래와 같이 테스트용 빈을 별도로 추가해주어야한다.

@Bean
@Profile("test")
public UserDetailsService userDetailsService() {
    return new UserDetailsService() {
        @Override
        public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
            return User.withUsername(username).password("password")
                .authorities(new SimpleGrantedAuthority("ROLE_USER")).build();
        }
    };
}

해당 UserDeatilsService를 적용시키기 위해서는, 아래와 같이 @WithUserDetails(유저명)를 적어주면 된다.

@Test 
@WithUserDetails("test_user") // "test_user"로 접근시 위에서 설정한 UserDetails가 반환됨.
public void some_test() { ... }

테스트용 빈 이름(userDetailsService)을 다르게 등록하고 싶다면, 직접 지정하면 된다.

@Test
@WithUserDetails(value="user", userDeatilsServiceBeanName="myUserDetailsServiceBean")

# 통합테스트 (SpringBootTest)

스프링빈을 띄우는 통합테스트라면 각 테스트가 독립적이게 @Transcational을 붙여주자.

다만 실제 서비스에서는 @Transcational을 붙이게되면 테스트-빌드 과정이 너무 느려져서 부담이 되니 적절하게 사용하도록 하자. (직접 테스트 데이터를 넣어서 검증, 테스트에 Slow, Fast 태그를 구분해서 통합테스트 빈도수 줄이기 등)

@Autowired
AccountService accountService;

@Test
@Transactional
public void login_success() throws Exception{
    String username = "grace";
    String password = "123";
    Account account = this.createUser(username, password);

    // 참고로 보통 account.getPassword() 로 받으면, 암호화된 비밀번호임을 주의하자.
    mockMvc.perform(formLogin().user(user.getUsername()).password(password))
            .andExpect(authenticated());
}

@Test
@Transactional
public void login_fail() throws Exception{
    String username = "grace";
    String password = "123";
    Account user = this.createUser(username, password);
    mockMvc.perform(formLogin().user(user.getUsername()).password("1234"))
            .andExpect(unauthenticated());
}

private Account createUser(String username, String password) {
    Account account = new Account();
    account.setUsername(username);
    account.setPassword(password);
    account.setRole("USER");
    return accountService.createNew(account);
}

만약 UserDetails를 사용하지않고, 커스텀했다면 (JWT등) 공식문서를 참고하자

'🌱 Spring Framework > Test (JUnit, SpringBootTest)' 카테고리의 다른 글

테스트 데이터도구 - Fixture Monkey (3)	2022.04.02
좋은 테스트를 작성하는 방법 (5)	2022.03.08
Spring Boot Test와 슬라이스 테스트 (0)	2021.09.08
자바 테스트 라이브러리 - JUnit5, AssertJ (0)	2021.09.07
다양한 테스트와 Test Double (+Mockist) (0)	2021.09.07

블로그의 정보

JiwonDev

spring security 테스트용 설정 방법

공식문서 한글번역

# 단위테스트

@WithMockUser

# 통합테스트 (SpringBootTest)

'🌱 Spring Framework > Test (JUnit, SpringBootTest)' 카테고리의 다른 글

블로그의 정보

활동하기

티스토리툴바

공식문서 한글번역

# 단위테스트

@WithMockUser

# 통합테스트 (SpringBootTest)

'🌱 Spring Framework > Test (JUnit, SpringBootTest)' 카테고리의 다른 글

블로그의 정보

활동하기

공유하기

다른 글

티스토리툴바