开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用@WithMockUser的Rest保证测试适用于GET请求，但不适用于POST (403错误)

使用@WithMockUser注解可以在测试中模拟一个已认证的用户，以便进行权限相关的测试。该注解可以用于GET请求的测试，但对于POST请求可能会导致403错误。

403错误表示服务器理解请求，但拒绝执行它，通常是由于权限不足引起的。在使用@WithMockUser注解时，它会模拟一个已认证的用户，但并不会模拟用户的权限。对于GET请求，由于通常不涉及修改数据或执行敏感操作，因此可以使用@WithMockUser进行测试。但对于POST请求，由于可能会修改数据或执行敏感操作，需要确保用户具有足够的权限才能执行。

为了解决POST请求中的403错误，可以采取以下几种方法：

使用@WithMockUser注解时，通过设置用户的权限来模拟具有足够权限的用户。可以在注解中使用authorities属性来指定用户的权限，例如：@WithMockUser(authorities = "ROLE_ADMIN")。
在测试方法中，使用Spring Security的MockMvcRequestBuilders工具类构建POST请求时，可以使用with(csrf())方法添加CSRF令牌，以确保请求是经过CSRF保护的。例如：

import static org.springframework.security.test.web.servlet.request.MockMvcRequestBuilders.post;
import static org.springframework.security.test.web.servlet.request.MockMvcRequestBuilders.with;
import static org.springframework.security.test.web.servlet.response.MockMvcResultMatchers.status;

...

mockMvc.perform(post("/api/endpoint")
        .with(csrf())
        .contentType(MediaType.APPLICATION_JSON)
        .content(jsonPayload))
        .andExpect(status().isOk());

如果需要进行更复杂的权限测试，可以使用Spring Security的@WithMockUser和@WithUserDetails注解结合使用。@WithUserDetails注解可以指定一个已存在的用户，包括其权限信息。例如：

@WithUserDetails(value = "admin", userDetailsServiceBeanName = "myUserDetailsService")
public void testPostRequestWithAdminUser() {
    // Perform POST request and assert the response
}

在上述示例中，"admin"是一个已存在的用户，通过userDetailsServiceBeanName属性指定了用户详情服务的Bean名称。

总结起来，使用@WithMockUser的Rest保证测试适用于GET请求，但对于POST请求可能会导致403错误。为了解决这个问题，可以通过设置用户的权限、添加CSRF令牌或结合使用@WithMockUser和@WithUserDetails注解来进行测试。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

REST API和SOAP API之间的区别

The Representational State Transfer (REST)架构风格不是可以购买的技术，也不是可以添加到软件开发项目中的库。REST是一种世界观，将信息提升为我们构建的体系结构的第一流元素。

01

python测试开发django-61.权限认证(permission)

用户登录后，才有操作当前用户的权限，不能操作其它人的用户，这就是需要用到权限认证，要不然你登录自己的用户，去操作别人用户的相关数据，就很危险了。

04

REST API和SOAP API之间的区别

The Representational State Transfer (REST)架构风格不是可以购买的技术，也不是可以添加到软件开发项目中的库。REST是一种世界观，将信息提升为我们构建的体系结构的第一流元素。

02

5个REST API安全准则

当开发REST API时，从一开始就必须注意安全方面。 REST是通过URL路径元素表达系统中特定实体的手段。REST不是一个架构，而是一种在Web上构建服务的架构风格。 REST允许通过简单的URL（而不是复杂的请求主体或POST参数）与基于web的系统交互。 1 - 授权（1）保护HTTP方法 RESTful API通常使用GET（读），POST（创建），PUT（替换/更新）和DELETE（删除记录）。对于每个资源并非都要提供所有这些操作。必须确保传入的HTTP方法对于会话令牌/API密

01

强！10.6K star，一款开源HTTP测试工具，适合新手，简单、容易上手！

今天给大家推荐一款开源的HTTP测试工具：Hurl，相比curl、wget功能更强大，且更容易上手、很适用新手使用。

01

WordPress JSON REST API简单介绍及使用

这个插件（WordPress JSON REST API (WP API)）提供了一个易于使用的REST API，让我们可以通过HTTP获取简单方便的JSON格式的数据，这些数据包括用户，文章，分类等等。获取或更新数据非常简单，只需要发送一个HTTP请求就可以了。

01

Spring之RestTemplate中级使用篇

前面一篇介绍了如何使用RestTemplate发起post和get请求，然而也只能满足一些基本的场景，对于一些特殊的如需要设置请求头，添加认证信息等场景，却没有提及可以怎么做，这一篇则相当于进阶版，将主要介绍

01

180815-Spring之RestTemplate中级使用篇

前面一篇介绍了如何使用RestTemplate发起post和get请求，然而也只能满足一些基本的场景，对于一些特殊的如需要设置请求头，添加认证信息等场景，却没有提及可以怎么做，这一篇则相当于进阶版，将主要介绍

02

Spring Security 实战干货：Spring Security中的单元测试

今天组里的新人迷茫的问我：哥，Spring Security弄的我单元测试跑不起来，总是401，你看看咋解决。没问题，有写单元测试的觉悟，写的代码质量肯定有保证，对代码质量重视的态度，这种忙一定要帮！

04

Oracle Advanced Support系统SQL注入漏洞挖掘经验分享

Oracle Advanced Support系统SQL注入漏洞分析一年多前我在客户的一个外部环境中执行渗透测试，任何外部环境渗透测试的重要步骤之一就是挖掘出可访问的WEB服务。nmap和EveWitness的结合会令这步骤变得更快，因为我们可以进行端口扫描并且把这些结果以屏幕截图的形式导入到 EyeWitness中。当梳理完 EyeWitness提供的屏幕截图页面后，我发现了一个Oracle 高级支持服务。虽然我之前从没听过Oracle Advanced Support,但是当我很快的goo

07

⚡3分钟⚡熟悉面试常问状态码，面试官都听呆了

· 100 - Continue 初始的请求已经接受，客户应当继续发送请求的其余部分。（HTTP 1.1新） · 101 - Switching Protocols 服务器将遵从客户的请求转换到另外一种协议（HTTP 1.1新）

02

REST架构风格详解

REST是Representational State Transfer(在表示层上的状态传输)的缩写，这个词的意思要在文章的后面才能解释清楚。REST是一种WEB应用的架构风格，它被定义为6个限制，满足这6个限制，能够获得诸多好处（详细优点在文章最后总结）。

02

在 REST 服务中支持 CORS

本节提供 CORS 的概述以及如何在 IRIS REST 服务中启用 CORS 的概述。

03

RESTful简介

REST这个词，是Roy Thomas Fielding在他2000年的博士论文中提出的。 Fielding，他是HTTP协议（1.0版和1.1版）的主要设计者、Apache服务器软件的作者之一、Apache基金会的第一任主席。

02

花5分钟看这篇之前,你才发现你不懂RESTful

在学习RESTful 风格接口之前，即使你不知道它是什么，但你肯定会好奇它能解决什么问题？有什么应用场景？听完下面描述我想你就会明白：

04

HTTP协议请求方法和状态码介绍

HTTP请求方法、状态码和Header是相互配合一起工作的，客户端通过HTTP的方法告诉服务器要执行什么动作，服务器通过状态码来告诉客户端动作是否执行成功。接下来让我们一起来了解一下这块相关的一些内容。

03

HTTP消息

HTTP报文，又称为HTTP消息，是服务器和客户端之间交换数据的模块。有两种类型的消息︰请求，由客户端发送用来触发一个服务器上的动作;响应，来自服务器的应答。 HTTP消息由采用ASClI编码的多行文本构成。在HTTP/1.1及早期版本中，这些消息通过连接公开地发送。在HTTP/2中，为了优化和性能方面的改进，曾经可人工阅读的消息被分到多个HTTP帧中。

00

测试面试题集-接口测试

又到星期五啦，作为一个常年因计划赶不上变化的反面教材人物，每周一、三、五7:30能坚持更文一定是凭借着我上辈子修炼的毅力以及对这个正垂死挣扎的公众号的拼死补救。如果正在看此文的你希望来施展自己的十八般武艺，欢迎在后台回复“投稿”，尽情的砸稿子过来，coco请你喝奶茶。

03

用ASP.NET Core 2.1 建立规范的 REST API -- 缓存和并发

本文所需的一些预备知识可以看这里: http://www.cnblogs.com/cgzl/p/9010978.html 和 http://www.cnblogs.com/cgzl/p/9019314.html

03

学习总结——接口测试基础

测试人员通常所说的“接口测试”是针对系统各组件之间接口的一种测试，它属于功能测试。接口能测出普通界面操作难以发现的问题。如，我们都知道系统是由前端后端组成，一些数据在前端做了校验，后端同样也需要校验才能保证安全，界面操作显然只能检查到前端校验这一层，只有直接面对前后端之间的该接口才能检验出后端是否也做了校验。

03

RESTFUL API 安全设计指南

REST的全称是REpresentational State Transfer，表示表述性无状态传输，无需session，所以每次请求都得带上身份认证信息。rest是基于http协议的，也是无状态的。只是一种架构方式，所以它的安全特性都需我们自己实现，没有现成的。建议所有的请求都通过https协议发送。RESTful web services 概念的核心就是“资源”。资源可以用 URI 来表示。客户端使用 HTTP 协议定义的方法来发送请求到这些 URIs，当然可能会导致这些被访问的”资源“状态的改变。HTTP请求对应关系如下：

02

如何设计好的RESTful API

现阶段的开发模式多以前后端分离形式存在，前后端开发人员需要通过大量 API 来进行数据交互，如果在交互过程中前后端人员经常遭遇如下问题：

02

漏洞科普：对于XSS和CSRF你究竟了解多少

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。如今，Web安全成为焦点，但网站的漏洞还是频频出现，在白帽子们进行网

09

RESTful API 最佳实践

在参考了GitHub API设计和大量博客文章后总结了一下RESTful API的设计，分享如下。想要更好的理解RESTful API首先需要理解如下概念：

03

赏心悦目的RESTful API这样来设计！

现阶段的开发模式多以前后端分离形式存在，前后端开发人员需要通过大量 API 来进行数据交互，如果在交互过程中前后端人员经常遭遇如下问题：

01

接口测试基础

测试人员通常所说的“接口测试”是针对系统各组件之间接口的一种测试，它属于功能测试。接口能测出普通界面操作难以发现的问题。如，我们都知道系统是由前端后端组成，一些数据在前端做了校验，后端同样也需要校验才能保证安全，界面操作显然只能检查到前端校验这一层，只有直接面对前后端之间的该接口才能检验出后端是否也做了校验。

02

Go语言HTTP服务实现GET和POST请求的同时支持

在现代的Web开发中，HTTP服务是构建网络应用程序的基础。而支持GET和POST请求是其中最基本、最常见的功能之一。GET请求用于从服务器获取数据，而POST请求则用于向服务器提交数据。在Go语言中，通过标准库中的net/http包，我们可以轻松创建和管理HTTP服务，并且很容易支持GET和POST请求。

01

接口自动化测试面试题大全（合适各级软件测试人员），建议收藏

因篇幅原因，还有很多Python自动化测试的面试题不能分享出来，我把面试题整理成文档分享在我自己的公众号里面了点击这里【Python自动化测试的面试题】

04

HTTP消息

HTTP报文，又称HTTP消息，是服务器和客户端之间交换数据的方式。有两种类型的消息：请求，由客户端发送用来触妓一个服务器上的动作；响应，来自服务器的应答。

03

Django Rest Framewor

200 OK - [GET]：服务器成功返回用户请求的数据，该操作是幂等的（Idempotent）。 201 CREATED - [POST/PUT/PATCH]：用户新建或修改数据成功。 202 Accepted - [*]：表示一个请求已经进入后台排队（异步任务） 204 NO CONTENT - [DELETE]：用户删除数据成功。 400 INVALID REQUEST - [POST/PUT/PATCH]：用户发出的请求有错误，服务器没有进行新建或修改数据的操作，该操作是幂等的。 401 Unauthorized - [*]：表示用户没有权限（令牌、用户名、密码错误）。 403 Forbidden - [*] 表示用户得到授权（与401错误相对），但是访问是被禁止的。 404 NOT FOUND - [*]：用户发出的请求针对的是不存在的记录，服务器没有进行操作，该操作是幂等的。 406 Not Acceptable - [GET]：用户请求的格式不可得（比如用户请求JSON格式，但是只有XML格式）。 410 Gone -[GET]：用户请求的资源被永久删除，且不会再得到的。 422 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时，发生一个验证错误。 500 INTERNAL SERVER ERROR - [*]：服务器发生错误，用户将无法判断发出的请求是否成功。更多看这里：http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html 状态码

02

REST API安全设计指南

REST API 安全设计指南。REST 全称是 Representational State Transfer，它利用传统 Web 特点，提出一个既适于客户端应用又适于服务端的应用的、统一架构，极大程度上统一及简化了网站架构设计。

02

基础入门 HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断

-参数演示： 1、UA头-设备平台不同浏览器&设备 UA不同，后台根据不同UA头狂而已个性化返回不同内容 2、Cookie-身份替换 cookie 区别于session token jwt等验证方式见上图

01

如何设计出优秀的Restful API？

现在微服务真是火的一塌糊涂！大街小巷，逢人必谈微服务，各路大神纷纷忙着把自家的单体服务拆解成多个Web微小服务！而作为微服务之间通信的桥梁，Web API的设计就显得非常重要。

01

HTTP响应状态码：除了404，还有啥？

2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。

02

那些年，我们一起误解过的REST

最近几年REST API越来越流行，特别是随着微服务的概念被广泛接受和应用，很多Web Service都使用了REST API。

Restful API设计规范

RESTFUL是一种网络应用程序的设计风格和开发方式，基于HTTP，可以使用XML格式定义或JSON格式定义。RESTFUL适用于移动互联网厂商作为业务使能接口的场景，实现第三方OTT调用移动网络资源的功能，动作类型为新增、变更、删除所调用资源。

03

每天一道面试题 | day07

GET请求获取Request-URI所标识的资源，例如：在浏览器的地址栏中输入网址的方式访问网页时，浏览器采用GET方法向服务器获取资源。

03

HTTP协议中的GET和POST接口测试的区别

在进行接口测试时，了解不同的HTTP请求方法对于正确测试和评估接口功能至关重要。本文将探讨HTTP协议中GET和POST请求方法在接口测试中的区别以及它们的特点和应用场景。

01

看“猫”片，学HTTP状态码

我们用浏览器访问网页时，浏览器会向网页所在服务器发出请求。服务器会返回一个包含HTTP状态码的信息头（server header）用以响应浏览器的请求。

03

关于HTTP报文请求方法和状态响应码

和GET方法的行为类似，但服务器在响应中只返回首部，不会返回实体的主体部分。这就允许客户端在未获取实际资源的情况下，对资源的首部进行检查。可以做到：

03

REST API 安全设计指南

REST API 安全设计指南。REST的全称是REpresentational State Transfer，它利用传统Web特点，提出提出一个既适于客户端应用又适于服务端的应用的、统一架构，极大程度上统一及简化了网站架构设计。目前在三种主流的Web服务实现方案中，REST模式服务相比复杂的SOAP和XML-RPC对比来讲，更加简洁，越来越多的web服务开始使用REST设计并实现。但其缺少安全特性，《REST API 安全设计指南》就是一个REST API安全设计的指南，权当抛砖引玉，推荐网站后台设计及

08

Rest API请求管理最佳实践：RestClient-cpp库的应用案例

在当今互联网时代，REST（Representational State Transfer）API已经成为了现代应用程序开发的重要组成部分。随着各种网络服务和应用程序的不断涌现，有效地管理和调用REST API变得至关重要。为了解决这一需求，开发人员们倾向于寻找可靠且易于使用的库来简化REST API请求的处理。

01

Django REST Framework-常用的类视图

Django REST Framework是基于Django的一个用于构建Web API的框架。它提供了许多用于构建Web API的工具和实用程序，其中最常用的是类视图。类视图是一种Django REST Framework的API视图，它是基于类的视图。它提供了一种方便的方式来编写可重用的Web API视图，并带有许多有用的内置功能。

03

Postman关联与参数化

在周三的测试运维试听课程中，芒果给大家我们常用的接口测试工具Postman的进阶用法，这里我们来做个小总结。

02

HTTP协议

200 OK：客户端请求成功 301 redirect：页面永久性移走，服务器进行重定向跳转； 302 redirect：页面暂时性移走，服务器进行重定向跳转，具有被劫持的安全风险； 400 BadRequest：由于客户端请求有语法错误，不能被服务器所理解； 401 Unauthonzed：请求未经授权。这个状态代码必须和WWW-Authenticate报头域一起使用； 403 Forbidden：服务器收到请求，但是拒绝提供服务。服务器通常会在响应正文中给出不提供服务的原因，一般来说是服务器策略基于安全考虑拒绝提供访问； 404 NotFound：请求的资源不存在，例如，输入了错误的URL； 500 InternalServerError：服务器发生不可预期的错误，导致无法完成客户端的请求； 503 ServiceUnavailable：服务器当前不能够处理客户端的请求，在一段时间之后，服务器可能会恢复正常；

02

接口-Fiddler-HTTP状态码详解

HTTP状态码是用以表示网页服务器超文本传输协议响应状态的3位数字代码。它由 RFC 2616 规范定义的，并得到 RFC 2518、RFC 2817、RFC 2295、RFC 2774 与 RFC 4918 等规范扩展。所有状态码的第一个数字代表了响应的五种状态之一。

01

前端基础——谈谈HTTP

•POST：向指定资源提交数据进行处理请求（提交表单、上传文件），又可能导致新的资源的建立或原有资源的修改；

03

接口测试基础知识HTTP和HTTPS的区别，8种HTTP请求方式：GET/POST/DELETE……

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。

03

前端面试题

解决了创建多个相似对象的问题，但没有解决对象识别的问题。也就是说我们无法知道创建出来的对象类型。

01

restful最佳实践--接口规范

前后端分离意味着，前后端之间使⽤ JSON 来交流，两个开发团队之间使⽤ API 作为契约进⾏交互。从此，后台选⽤的技术栈不影响前台。当我们决定需要前后端分离时，我们仍然还需要⾯对⼀系列的问题：

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭