Spring Boot 微服务控制器测试：处理外部服务依赖与JWT认证的策略-java教程-PHP中文网

Spring Boot 微服务控制器测试：处理外部服务依赖与JWT认证的策略

针对spring boot微服务控制器测试中，因mockmvc尝试调用外部服务（如认证服务）而导致404的问题，本教程提供两种核心解决方案：一是通过模拟外部服务客户端来隔离依赖，二是在测试环境中直接生成或提供有效的jwt令牌，从而避免实际的服务调用，确保测试的独立性和效率。

理解问题核心：mockMvc的边界与外部服务调用

在Spring Boot微服务架构中，进行控制器（Controller）测试时，我们通常使用MockMvc来模拟HTTP请求，从而测试控制器层的行为。然而，MockMvc的设计初衷是用于测试当前应用上下文中的控制器端点。当测试代码中的辅助方法（例如，用于获取JWT令牌的getJWTTokenForRoleUser）尝试通过mockMvc.perform()调用一个属于另一个微服务（如认证服务）的API端点时，当前应用上下文无法找到对应的处理器，因此会返回HTTP 404 Not Found错误。

原始代码中的getJWTTokenForRoleUser方法试图通过以下方式获取JWT：

// 原始的 getJWTTokenForRoleUser 方法片段
MvcResult result = mockMvc.perform(MockMvcRequestBuilders.post("/authenticate/login")
                        .contentType(MediaType.APPLICATION_JSON)
                        .content(asJsonString(loginRequest)))
                .andDo(MockMvcResultHandlers.print())
                .andExpect(MockMvcResultMatchers.status().isOk())
                .andReturn();

登录后复制

这里的/authenticate/login是认证服务的端点，而非订单服务的端点。因此，当订单服务的OrderControllerTest执行此段代码时，mockMvc自然无法找到并处理此请求，导致404。此外，即使能够成功调用外部服务，在单元/集成测试中进行真实的跨服务调用也是不推荐的，因为它会引入外部依赖，增加测试的复杂性和不稳定性。

解决方案策略：隔离与模拟

为了解决这个问题，我们需要在测试中隔离对外部服务的依赖。主要有两种策略：

策略一：模拟外部服务客户端

如果你的服务内部通过特定的客户端（如RestTemplate、WebClient或Feign Client）与外部服务进行通信，那么在测试中模拟这些客户端的行为是最佳实践。

适用场景：当你的服务逻辑依赖于从外部服务获取的真实数据或响应时，例如，订单服务需要调用认证服务来验证用户凭据并获取JWT。

实现方式：使用Spring Test提供的@MockBean或@SpyBean注解来模拟或部分模拟这些客户端组件。通过Mockito库定义这些模拟对象的行为，使其在特定输入下返回预期的结果。

示例：假设订单服务有一个AuthServiceProxy组件负责与认证服务通信。

// 假设订单服务中存在一个AuthServiceProxy类
@Service
public class AuthServiceProxy {
    private final RestTemplate restTemplate;
    // ... 其他依赖

    public AuthServiceProxy(RestTemplate restTemplate) {
        this.restTemplate = restTemplate;
    }

    public JWTResponse login(LoginRequest loginRequest) {
        // 实际调用认证服务的逻辑
        return restTemplate.postForObject("http://AUTH-SERVICE/authenticate/login", loginRequest, JWTResponse.class);
    }
}

登录后复制

在OrderControllerTest中，我们可以这样模拟它：

import org.junit.jupiter.api.Test;
import org.mockito.Mockito;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;
import org.springframework.boot.test.mock.mockito.MockBean;
import org.springframework.http.MediaType;
import org.springframework.test.web.servlet.MockMvc;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;

@WebMvcTest(OrderController.class) // 假设测试OrderController
public class OrderControllerTest {

    @Autowired
    private MockMvc mockMvc;

    @MockBean // 模拟AuthServiceProxy
    private AuthServiceProxy authServiceProxy;

    // ... 其他依赖和工具方法

    @Test
    void test_When_placeOrder_DoPayment_Success_WithMockedAuthService() throws Exception {
        // 1. 模拟AuthServiceProxy的行为
        JWTResponse mockJwtResponse = new JWTResponse("mocked_jwt_token_for_user", "User", List.of("ROLE_USER"));
        Mockito.when(authServiceProxy.login(Mockito.any(LoginRequest.class)))
               .thenReturn(mockJwtResponse);

        // 2. 使用模拟的JWT令牌进行订单放置请求
        OrderRequest orderRequest = getMockOrderRequest();
        String jwt = mockJwtResponse.getToken(); // 从模拟响应中获取令牌

        mockMvc.perform(post("/order/placeorder")
                        .contentType(MediaType.APPLICATION_JSON_VALUE)
                        .header("Authorization", "Bearer " + jwt)
                        .content(objectMapper.writeValueAsString(orderRequest)))
                .andExpect(status().isOk());

        // ... 后续断言
    }

    // 辅助方法，如果仍需要生成LoginRequest
    private LoginRequest getMockLoginRequest() {
        return new LoginRequest("User", "User");
    }
}

登录后复制

策略二：直接生成或提供测试用JWT令牌

对于控制器测试，如果核心关注点在于当前服务的业务逻辑，而非认证服务本身的令牌生成机制，那么直接在测试环境中生成一个有效的JWT令牌，并将其用于请求头，是最简洁高效的方法。这避免了对外部服务或其模拟客户端的依赖。

适用场景：大多数控制器层面的集成测试，你只需要一个有效的JWT来通过安全过滤器，而不需要模拟认证服务的完整流程。

新CG儿

数字视觉分享平台 | AE模板_视频素材

412

查看详情

优势：测试更轻量、独立，执行速度更快，且不易受外部服务接口变化的影响。同时，可以避免原始问题中提到的“过期令牌”问题，因为每次测试都可以生成一个新鲜的有效令牌。

实现方式：

在测试中直接生成JWT：利用jjwt库（通常认证服务也使用此库）和与认证服务相同的密钥及过期策略，在测试代码中生成一个有效的JWT。
重构getJWTTokenForRoleUser方法：将原有的mockMvc调用替换为JWT生成逻辑。

代码实践：生成测试JWT令牌

首先，确保你的测试环境中可以访问到用于签名JWT的密钥（jwtSecret）和过期时间（jwtExpirationMs）。这些通常从application.properties或application.yml中加载。

1. JWT生成工具类或辅助方法

在测试类中或一个专门的测试工具类中，创建一个辅助方法来生成JWT。

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys; // 导入Keys用于生成安全的密钥
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import java.util.Collections;
import java.util.Date;
import java.util.List;
import java.util.stream.Collectors;
import javax.crypto.SecretKey; // 使用javax.crypto.SecretKey

// 假设在OrderControllerTest中
public class OrderControllerTest {

    // 注入或定义JWT密钥和过期时间，确保与Auth Service一致
    // 注意：在实际项目中，测试密钥应与生产密钥隔离，或通过测试配置提供
    @Value("${application.jwt.secret}") // 从application-test.properties加载
    private String jwtSecret;

    @Value("${application.jwt.expiration-ms}") // 从application-test.properties加载
    private long jwtExpirationMs;

    // ... 其他注入和测试方法

    /**
     * 为测试目的生成一个有效的JWT令牌
     * @param username 用户名
     * @param roles 用户的角色列表
     * @return 生成的JWT字符串
     */
    private String generateTestJwtToken(String username, List<String> roles) {
        // 将字符串密钥转换为SecretKey
        SecretKey key = Keys.hmacShaKeyFor(jwtSecret.getBytes());

        List<GrantedAuthority> authorities = roles.stream()
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());

        return Jwts.builder()
                .setSubject(username)
                .claim("roles", authorities) // 根据你的Auth Service如何存储角色信息来调整
                .setIssuedAt(new Date())
                .setExpiration(new Date((new Date()).getTime() + jwtExpirationMs))
                .signWith(key, SignatureAlgorithm.HS512) // 使用HS512算法
                .compact();
    }

    // 重构后的 getJWTTokenForRoleUser 方法
    private String getJWTTokenForRoleUser() {
        // 直接生成一个带有"User"角色和用户名的JWT
        return generateTestJwtToken("User", Collections.singletonList("ROLE_USER"));
    }

    @Test
    @DisplayName("Place Order -- Success Scenario")
    @WithMockUser(username = "User", authorities = { "ROLE_USER" }) // 此注解模拟了SecurityContext，但JWT仍需手动添加到Header
    void test_When_placeOrder_DoPayment_Success() throws Exception {

        OrderRequest orderRequest = getMockOrderRequest();
        String jwt = getJWTTokenForRoleUser(); // 现在这里直接生成JWT

        mockMvc.perform(MockMvcRequestBuilders.post("/order/placeorder")
                        .contentType(MediaType.APPLICATION_JSON_VALUE)
                        .header("Authorization", "Bearer " + jwt) // 使用生成的JWT
                        .content(objectMapper.writeValueAsString(orderRequest)))
                .andExpect(MockMvcResultMatchers.status().isOk())
                .andReturn();

        // ... 后续断言
    }
}

登录后复制

2. 配置JWT密钥和过期时间

为了让测试能够正确生成JWT，你需要在测试专用的配置文件（例如src/test/resources/application-test.properties或application.yml）中配置与认证服务一致的jwtSecret和jwtExpirationMs。

# src/test/resources/application-test.properties
application.jwt.secret=yourVerySecureTestSecretKeyForJWTGenerationThatIsAtLeast256BitsLong
application.jwt.expiration-ms=3600000 # 1小时，或根据需要设置

登录后复制

3. 关于JwtUtils的利用

原始问题中提到了JwtUtils在订单服务中用于解析令牌。如果你想在测试中验证生成的令牌是否能被JwtUtils正确解析，你可以注入JwtUtils并在测试中调用其解析方法进行断言。但对于控制器测试，主要目标是确保请求能通过安全过滤器并到达控制器。

注意事项与最佳实践

测试隔离性：始终追求测试的隔离性。单元测试应避免任何外部依赖，集成测试应尽量通过模拟或内存数据库来减少真实外部依赖。
密钥管理：在测试环境中使用的JWT密钥应与生产环境的密钥不同，以避免安全风险。确保测试密钥足够安全且只用于测试目的。
测试粒度：
- 直接生成JWT：适用于控制器测试，当你的重点是测试当前服务的业务逻辑，且只需要一个有效的令牌来通过安全层时。这是最轻量和高效的方法。
- 模拟外部服务客户端：适用于更接近集成测试的场景，当你的服务确实需要与外部服务进行交互，并且你希望测试这种交互逻辑

以上就是Spring Boot 微服务控制器测试：处理外部服务依赖与JWT认证的策略的详细内容，更多请关注php中文网其它相关文章！