我有一个实现REST api的flask应用程序。出于某些原因,我使用HTTP摘要身份验证。我使用了Flask-HTTPAuth库来实现摘要身份验证,它可以工作;但是,我无法在单元测试中进行身份验证。
对于单元测试,在设置身份验证之前,我做了这样的事情:
class FooTestCase(unittest.TestCase):
def setUp(self):
self.app = foo.app.test_client()
def test_root(self):
response = self.app.get('/')
# self.assert.... blah blah blah
在实现身份验证之前,这是可以的。现在我得到一个401,这是摘要验证请求的初始响应。我已经搜索和搜索并遵循了一些与http基本认证相关的建议(使用参数data ={#各种东西}和follow_redirects=True),但我没有成功。
有没有人知道如何在这种情况下实现单元测试?
不幸的是,摘要身份验证在Flask-HTTPAuth中很难测试或绕过。
一种选择是实际计算正确的哈希值,并在测试期间执行完整的身份验证。您可以在Flask-HTTPAuth单元测试中看到一些这样的例子。这里有一个:
def test_digest_auth_login_valid(self):
response = self.client.get('/digest')
self.assertTrue(response.status_code == 401)
header = response.headers.get('WWW-Authenticate')
auth_type, auth_info = header.split(None, 1)
d = parse_dict_header(auth_info)
a1 = 'john:' + d['realm'] + ':bye'
ha1 = md5(a1).hexdigest()
a2 = 'GET:/digest'
ha2 = md5(a2).hexdigest()
a3 = ha1 + ':' + d['nonce'] + ':' + ha2
auth_response = md5(a3).hexdigest()
response = self.client.get(
'/digest', headers={
'Authorization': 'Digest username="john",realm="{0}",'
'nonce="{1}",uri="/digest",response="{2}",'
'opaque="{3}"'.format(d['realm'],
d['nonce'],
auth_response,
d['opaque'])})
self.assertEqual(response.data, b'digest_auth:john')
以用户名为"john",密码为"bye"为例。假设您有一些可以在单元测试中使用的用户预先确定的凭据,因此您可以将这些凭据插入上面的a1变量中。这个身份验证舞蹈可以包含在一个辅助函数中,该函数在测试期间包装请求的发送,这样您就不必在每个测试中都重复此操作。
在测试中没有必要使用真实世界的身份验证。要么在运行测试时禁用身份验证,要么创建测试用户并在测试中使用此测试用户。
例如: @digest_auth.get_password
def get_pw(username):
if running_from_tests():
if username == 'test':
return 'testpw'
else:
return None
else:
# ... normal auth that you have
当然,这个测试用户在生产环境中绝对不能被激活:)对于running_from_tests()的实现,请参见测试代码是否在一个py中执行。测试会话(如果您使用py.test)。