如何在 Spring Boot 中高效测试 OAuth2 资源服务器安全配置

本文详解如何不依赖真实授权服务器，通过 `spring-security-test` 和 `spring-addons` 等工具对 spring security 的 oauth2 资源服务器配置进行精准、快速、可维护的单元与集成测试。

在构建基于 Spring Security 的 OAuth2 资源服务器时，一个常见误区是试图在测试中启动真实授权服务器（如 Keycloak）或发起真实 JWT 解析请求——这不仅大幅拖慢测试执行速度，还会引入网络、密钥、时钟漂移等不稳定因素，严重损害 CI/CD 流程的可靠性与开发体验。

正确的测试策略应遵循“分层验证”原则：JWT 解码与签名验证交由 Spring Security 官方实现保障（无需重复测试），而你应专注验证访问控制逻辑（access control logic）是否按预期生效。这意味着：
✅ 单元/集成测试中模拟 JwtAuthenticationToken，直接注入已构造的 JWT 主体与权限；
✅ 用 @WebMvcTest 或 @WebFluxTest 隔离 Controller 层，配合 MockMvc / WebTestClient 验证端点级鉴权结果；
✅ 使用 @PreAuthorize、@PostAuthorize 等方法级注解时，可通过 @SpringBootTest + @EnableMethodSecurity 覆盖 Service 层安全逻辑。

✅ 核心测试方式：使用 spring-security-test

首先引入测试依赖：

    org.springframework.security
    spring-security-test
    test

然后在测试类中利用 SecurityMockMvcRequestPostProcessors.jwt() 构造带指定权限的 JWT 认证上下文：

import static org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors.jwt;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;

@WebMvcTest(controllers = MachinController.class)
class MachinControllerTest {

    @Autowired
    MockMvc mockMvc;

    @Test
    void givenUserIsAnonymous_whenGetMachin_thenUnauthorized() throws Exception {
        mockMvc.perform(get("/api/v1/private/machin"))
               .andExpect(status().isUnauthorized());
    }

    @Test
    void givenUserHasApiReadScope_whenGetMachin_thenOk() throws Exception {
        mockMvc.perform(get("/api/v1/private/machin")
                .with(jwt().jwt(jwt -> jwt.authorities(
                    List.of(new SimpleGrantedAuthority("SCOPE_api:read"))
                ))))
               .andExpect(status().isOk());
    }

    @Test
    void givenUserLacksRequiredScope_whenGetMachin_thenForbidden() throws Exception {
        mockMvc.perform(get("/api/v1/private/machin")
                .with(jwt().jwt(jwt -> jwt.authorities(
                    List.of(new SimpleGrantedAuthority("SCOPE_openid"))
                ))))
               .andExpect(status().isForbidden());
    }
}

该方式完全绕过 JWT 解析流程，直接将 JwtAuthenticationToken 注入 Spring Security 上下文，既保证了测试速度（毫秒级），又精准覆盖了你的 hasAnyAuthority("SCOPE_api:read") 等规则逻辑。

✅ 进阶简化：使用 spring-addons-oauth2-test

若项目中需大量编写此类测试，推荐使用社区维护的 spring-addons 库，它提供更简洁的注解式 API：

ClipDrop Relight

ClipDrop推出的AI图片图像打光工具

下载

    com.c4-soft.springaddons
    spring-addons-oauth2-test
    6.0.12
    test

测试代码可大幅精简为：

@WebMvcTest(controllers = MachinController.class)
class MachinControllerTest {

    @Autowired
    MockMvc mockMvc;

    @Test
    @WithMockJwtAuth("SCOPE_api:read")
    void givenUserHasApiReadScope_whenGetMachin_thenOk() throws Exception {
        mockMvc.perform(get("/api/v1/private/machin"))
               .andExpect(status().isOk());
    }

    @Test
    @WithMockJwtAuth("SCOPE_openid")
    void givenUserLacksRequiredScope_whenGetMachin_thenForbidden() throws Exception {
        mockMvc.perform(get("/api/v1/private/machin"))
               .andExpect(status().isForbidden());
    }
}

@WithMockJwtAuth 支持灵活配置 issuer、claims、authorities 等字段，甚至支持 @WithMockJwtAuth(issuer = "https://auth.example.com", authorities = {"SCOPE_api:write"})，语义清晰、复用性强。

⚠️ 注意事项与最佳实践

• 禁用真实 JWT 验证：确保测试环境 spring.security.oauth2.resourceserver.jwt.jwk-set-uri 未配置，或显式设为空，避免意外触发远程密钥拉取。
• SSL 配置：若应用启用 HTTPS，测试时建议添加 @WebMvcTest(properties = "server.ssl.enabled=false") 避免证书问题。
• 方法安全测试：如 @Service 类中使用 @PreAuthorize("hasAuthority('SCOPE_api:write')")，需搭配 @SpringBootTest 和 @EnableMethodSecurity，并通过 @WithMockJwtAuth 注入认证上下文。
• 不要测框架职责：Spring Security 已充分测试 JWT 解析、签名验证、过期检查等底层能力，你的测试目标永远是 “当用户拥有 X 权限时，能否访问 Y 接口” —— 这才是业务安全的核心。

通过上述方式，你可在无外部依赖、零容器、毫秒级响应的前提下，全面覆盖资源服务器的访问控制策略，大幅提升测试覆盖率与研发效率。