我想检查一个带有访问控制的方法,例如,一个方法只被授予特定角色。因此,我知道Symfony的两种方式:
- @Security方法上方的注释(SensioFrameworkExtraBundle)或
- 在我的方法中调用authorization_checker显式
当涉及到单元测试时(对于我的情况phpspec,但我认为phpunit行为在这种情况下几乎相同),我想测试只有匿名用户才能调用方法。与数字 2。,它工作正常。这是我的设置:
RegistrationHandlerSpec:
class RegistrationHandlerSpec extends ObjectBehavior
{
function let(Container $container, AuthorizationCheckerInterface $auth) {
$container->get('security.authorization_checker')->willReturn($auth);
$this->setContainer($container);
}
function it_should_block_authenticated_users(AuthorizationCheckerInterface $auth)
{
$auth->isGranted("ROLE_USER")->willReturn(true);
$this->shouldThrow('SymfonyComponentSecurityCoreExceptionAccessDeniedException')->during('process', array());
}
}
在注册处理程序中,我有以下方法:
class RegistrationHandler
{
public function process()
{
$authorizationChecker = $this->get('security.authorization_checker');
if ($authorizationChecker->isGranted('ROLE_USER')) {
throw new AccessDeniedException();
}
// ...
}
}
好吧,这种方法工作正常 - 但通常,我更喜欢使用 1. 与安全注释(Sensio FrameworkExtraBundle),因此,它不起作用/我不知道为什么在编写注释时没有触发异常:
/**
* @Security("!has_role('ROLE_USER')")
*/
public function process()
{
// ...
}
有谁知道如何通过使用第一种方法和@Security注释来让这个例子工作,这是更具可读性和推荐的symfony最佳实践?
在这两种情况下,您都在测试第三方代码(Symfony框架)提供的行为。遵循规则不要嘲笑你不拥有的东西,而不是编写单元测试,你应该编写一个集成测试。否则,你只会对代码的工作方式做出假设,而没有证据证明它确实以这种方式工作。
在您的情况下,您的集成测试可能是控制器测试。您将使用 Web 测试客户端(由 WebTestCase 提供)调用 URL,并验证在某些情况下是否收到 401 或 403 响应。
PHPSpec 是一个单元测试工具(又名设计工具)。您需要使用其他内容(例如 PHPUnit)编写集成测试。我通常在我的项目中至少安装了三个测试工具:
- 用于单元测试的 PhpSpec
- 用于集成测试的 PHPUnit
- 用于验收测试(集成测试的一种形式)的Behat