导读:本期聚焦于小伙伴创作的《Spring Security 6下MockMvc CSRF测试遇到挑战该怎么解决》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《Spring Security 6下MockMvc CSRF测试遇到挑战该怎么解决》有用,将其分享出去将是对创作者最好的鼓励。

Spring Security 6对CSRF防护的默认实现做了调整,很多开发者在迁移项目或者新开发项目时,使用MockMvc编写CSRF相关测试用例会遇到请求被拦截、令牌校验不通过等问题,需要针对性调整测试代码的编写方式。

Spring Security 6下MockMvc CSRF测试遇到挑战该怎么解决

常见的MockMvc CSRF测试挑战

请求被CSRF过滤器直接拦截

Spring Security 6默认对所有状态变更的请求(POST、PUT、DELETE等)开启CSRF校验,如果测试时没有携带正确的CSRF令牌,请求会直接返回403状态码。很多开发者习惯直接调用MockMvc的post、put方法,没有添加令牌相关配置,就会导致测试失败。

手动添加令牌后校验依然失败

部分开发者尝试手动构造CSRF令牌添加到请求参数或者请求头中,但是因为Spring Security 6的CSRF令牌存储机制变化,手动构造的令牌无法通过校验,测试依然无法通过。

测试代码适配成本高

如果项目中存在大量已有的MockMvc测试用例,迁移到Spring Security 6后需要逐个调整CSRF相关的测试逻辑,工作量较大,还容易遗漏部分用例的适配。

对应的解决方案

使用Spring Security提供的CSRF请求后处理器

Spring Security测试模块提供了SecurityMockMvcRequestPostProcessors.csrf()后处理器,可以自动为MockMvc请求添加合法的CSRF令牌,这是最推荐的解决方式。示例代码如下:

import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;
import org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors;
import org.springframework.test.web.servlet.MockMvc;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;

@WebMvcTest
public class UserControllerTest {
    @Autowired
    private MockMvc mockMvc;

    @Test
    public void testUpdateUser() throws Exception {
        // 使用csrf()后处理器自动添加CSRF令牌
        mockMvc.perform(post("/user/update")
                .param("userId", "1")
                .param("username", "test")
                .with(SecurityMockMvcRequestPostProcessors.csrf()))
                .andExpect(status().isOk());
    }
}

配置测试专用的CSRF忽略规则

如果部分测试场景不需要校验CSRF,可以在测试配置类中临时调整CSRF配置,忽略指定路径的校验。示例配置如下:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class TestSecurityConfig {
    @Bean
    public SecurityFilterChain testFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf
                // 忽略测试路径的CSRF校验
                .ignoringRequestMatchers("/test/**")
            )
            .authorizeHttpRequests(auth -> auth
                .anyRequest().permitAll()
            );
        return http.build();
    }
}

批量适配已有测试用例

如果项目中已有大量MockMvc测试用例,不需要逐个添加with(csrf()),可以通过自定义MockMvc的默认配置,全局添加CSRF后处理器。示例代码如下:

import org.junit.jupiter.api.BeforeEach;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.test.web.servlet.setup.SecurityMockMvcConfigurers;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.springframework.web.context.WebApplicationContext;

public abstract class BaseMockMvcTest {
    @Autowired
    private WebApplicationContext context;

    protected MockMvc mockMvc;

    @BeforeEach
    public void setup() {
        // 全局配置添加CSRF后处理器,所有请求自动携带CSRF令牌
        mockMvc = MockMvcBuilders.webAppContextSetup(context)
                .apply(SecurityMockMvcConfigurers.springSecurity())
                .defaultRequest(post("/").with(SecurityMockMvcRequestPostProcessors.csrf()))
                .defaultRequest(put("/").with(SecurityMockMvcRequestPostProcessors.csrf()))
                .defaultRequest(delete("/").with(SecurityMockMvcRequestPostProcessors.csrf()))
                .build();
    }
}

子类继承该基类后,发起状态变更请求时不需要再手动添加CSRF后处理器,减少重复代码的编写。

注意事项

  • CSRF后处理器仅对状态变更请求有效,GET请求不需要添加CSRF令牌,也不需要特殊处理。
  • 如果项目中自定义了CSRF令牌的存储方式或者校验逻辑,需要同步调整测试代码中的后处理器配置,确保和正式环境的逻辑一致。
  • 不要在生产环境配置中忽略CSRF校验,测试环境的忽略规则仅用于特定测试场景,避免引入安全风险。

Spring_Security_6MockMvcCSRF测试Spring_Test修改时间:2026-06-30 07:36:24

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。