超級測試，測試安全REST API

Question

我正在編寫一個受jwt保護的REST API的集成測試。 一個API術後/user/token是返回jwt給予username和password這個令牌然後用於如操作的列表：

GET /user/:id 

，在此路由使用jwt({secret: secret.secretToken})，所以令牌納入http標頭Authorization。

當使用超級測試進行測試時，我可以進行嵌套測試，但是我想先獲取令牌，然後將此令牌用於其他操作測試。

POST /user/token => 12345 
GET /user/:id, `Authorization Bearer 12345` 
GET /user/:foo, `Authorization Bearer 12345` 

如何避免生成新令牌每個操作測試（見下文），但僅使用單個一個由POST /用戶/令牌生成。

it('should get a valid token for user: user1', function(done) { 
    request(url) 
    .post('/user/token') 
    .send({ _id: user1._id, password: user1.password }) 
    .expect(200) // created 
     .end(function(err, res) { 
     // test operation GET /user/:id 

Answer 1

您想執行單個POST到/user/token，然後使用每個測試用例中收到的令牌嗎？如果是，則使用您正在使用的測試框架的before掛鉤（Mocha？）並將令牌存儲到變量中，例如

describe('My API tests', function() { 

    var token = null; 

    before(function(done) { 
    request(url) 
     .post('/user/token') 
     .send({ _id: user1._id, password: user1.password }) 
     .end(function(err, res) { 
     token = res.body.token; // Or something 
     done(); 
     }); 
    }); 

    it('should get a valid token for user: user1', function(done) { 
    request('/get/user') 
     .set('Authorization', 'Bearer ' + token) 
     .expect(200, done); 
    }); 
}); 

Answer 2

需要設置授權爲「承載」 +令牌

var token = null; 

before(function(done) { 
    request(url) 
     .post('/user/token') 
     .send({ _id: user1._id, password: user1.password }) 
     .end(function(err, res) { 
     token = res.body.token; // Or something 
     done(); 
     }); 
    }); 


it('should get a valid token for user: user1', function(done) { 
    request('/get/user') 
     .set('Authorization', 'Bearer ' + token) 
     .expect(200, done); 
    });