spring-security - SecurityContextHolder 返回错误的用户名

问题描述

在使用 MockMVC 测试 REST 端点时，Spring SecurityContextHolder 偶尔会在同一测试中返回错误的用户名。我有一个服务，其中有一个返回用户名的方法和一个 JPA 存储库检查用户是否存在（释义）：

String username = SecurityContextHolder.getContext().getAuthentication().getName();
Optional<RemoteUser> foundUser = userRepository.findOneByUsername(username);

必要时对测试进行注释@WithMockUser(username = "..." roles="...")。之后每个测试都会被拆除，并刷新 Spring 应用程序上下文。

@RunWith(SpringRunner.class)
@SpringBootTest(classes = IntegrationTestApplication.class)
public abstract class IntegrationTest {

    ...


    @Resource
    private WebApplicationContext applicationContext;

    protected MockMvc mockMvc;

    ...


    @Before
    public void setUp() {
         mockMvc = MockMvcBuilders.webAppContextSetup(applicationContext).build();
    }

    ...
}

大约 97-98% 的时间，测试运行良好。但是，有时，Authentication 对象返回的用户名不是@WithMockUser注释中定义的用户名。使用日志语句，我什至看到其他已经运行的测试类中使用的用户名。在每次测试之前，都会设置数据库用户，因此如果返回的用户名不在数据库中，则测试将失败，具体取决于需要用户的情况。

更奇怪的是，这个服务中的这个方法可以在测试过程中多次调用，有时用户名是正确的，然后突然就错了。我不明白这怎么可能。我的理解是 SecurityContextHolder bean 是线程安全的，因此测试的脆弱性让我感到困惑。这怎么可能发生？

只是需要注意的其他一些事项：

1. 使用 Spring Boot 2.2.7
2. 测试不是并行运行的。
3. 上述服务总是通过字段注入 ( @Lazy) 延迟注入。我不知道这是否是一个重要的细节，但这不是我的代码，这是唯一使用此注释的服务，我不知道为什么这样做。
4. 有一些方法注释了@Async，我认为可能会有副作用，但我没有任何支持，而且这种思路纯粹是吐槽。
5. 我已经调试了 TestSecurityContextHolder 并且已经看到确实调用了清除上下文的方法。
6. 我确实看到这个SecurityContextHolder 也给出了错误的用户详细信息，但一是没有答案，二是我的测试用例中没有并发请求。

标签： spring-securityintegration-testingmockmvc