Home Verkennen Help
Inloggen
weiym
/
perms-system-server
1
0
Vork 0
Bestanden Issues 0 Pull-aanvragen 0 Wiki
Boom: d4355fa0da
Aftakkingen Labels
perms-system...
/
internal
/
handler
/
routes_test.go

routes_test.go 8.3 KB
Geschiedenis Ruwe

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166 
  1. package handler
    2. 

  2. 

  3. import (
    4. 

  4. 	"encoding/json"
    5. 

  5. 	"net/http"
    6. 

  6. 	"net/http/httptest"
    7. 

  7. 	"os"
    8. 

  8. 	"regexp"
    9. 

  9. 	"strings"
    10. 

  10. 	"testing"
    11. 

  11. 

  12. 	"perms-system-server/internal/handler/pub"
    13. 

  13. 	"perms-system-server/internal/middleware"
    14. 

  14. 	"perms-system-server/internal/response"
    15. 

  15. 	"perms-system-server/internal/svc"
    16. 

  16. 	"perms-system-server/internal/testutil"
    17. 

  17. 

  18. 	"github.com/stretchr/testify/assert"
    19. 

  19. 	"github.com/stretchr/testify/require"
    20. 

  20. 	"github.com/zeromicro/go-zero/core/stores/redis"
    21. 

  21. )
    22. 

  22. 

  23. func init() { response.Setup() }
    24. 

  24. 

  25. // ---------------------------------------------------------------------------
    26. 

  26. // 覆盖目标:
    27. 

  27. // /api/auth/refreshToken 路由必须挂载 RefreshTokenRateLimit 中间件(IP 维度),
    28. 

  28. // 配额用尽后对同 IP 请求必须返回 429 "请求过于频繁"。
    29. 

  29. //
    30. 

  30. // 本组用例从两个独立角度交叉验证:
    31. 

  31. // 1. 静态 wiring:读取 routes.go 源码,断言 /auth/refreshToken 路由块内出现
    32. 

  32. // serverCtx.RefreshTokenRateLimit(防止有人误删中间件却骗过运行时);
    33. 

  33. // 2. 行为验证:用同一条中间件组合链路(= 生产代码的 rest.WithMiddlewares 展开)
    34. 

  34. // 直接发 HTTP 请求,达到 quota 后必须 429。
    35. 

  35. // ---------------------------------------------------------------------------
    36. 

  36. 

  37. // TC-0832: 静态 wiring 检查 —— routes.go 中 /auth/refreshToken 必须显式绑定
    38. 

  38. // RefreshTokenRateLimit 中间件。任何人无意中删掉这一行,本用例即红。
    39. 

  39. func TestRoutes_RefreshTokenRateLimitWired(t *testing.T) {
    40. 

  40. 	raw, err := os.ReadFile("./routes.go")
    41. 

  41. 	require.NoError(t, err, "必须能读到 internal/handler/routes.go")
    42. 

  42. 	src := string(raw)
    43. 

  43. 

  44. 	// 先定位 /auth/refreshToken 的路由块,再在块内检查中间件引用
    45. 

  45. 	// 语义等价于:rest.WithMiddlewares([]rest.Middleware{serverCtx.RefreshTokenRateLimit}, ... "/auth/refreshToken" ...)
    46. 

  46. 	re := regexp.MustCompile(`(?s)rest\.WithMiddlewares\(\s*\[\]rest\.Middleware\{([^}]*)\}[^)]*?"/auth/refreshToken"`)
    47. 

  47. 	m := re.FindStringSubmatch(src)
    48. 

  48. 	require.NotEmpty(t, m, "routes.go 里 /auth/refreshToken 必须位于 rest.WithMiddlewares(...) 包裹块中;未匹配说明中间件被剥离")
    49. 

  49. 	assert.Contains(t, m[1], "serverCtx.RefreshTokenRateLimit",
    50. 

  50. 		"/auth/refreshToken 路由的中间件列表必须包含 RefreshTokenRateLimit")
    51. 

  51. }
    52. 

  52. 

  53. // TC-0833: 行为验证 —— 复用生产中间件定义,quota=1 的窗口内同 IP 第 2 次必须 429。
    54. 

  54. func TestRefreshTokenRoute_RateLimit_EnforcedOnSameIP(t *testing.T) {
    55. 

  55. 	cfg := testutil.GetTestConfig()
    56. 

  56. 	svcCtx := svc.NewServiceContext(cfg)
    57. 

  57. 	rds := redis.MustNewRedis(cfg.CacheRedis.Nodes[0].RedisConf)
    58. 

  58. 

  59. 	// 构造与 routes.go 等价的中间件链:RefreshTokenRateLimit → RefreshTokenHandler
    60. 

  60. 	// 这里故意使用 quota=1 的新实例,避免污染生产 limiter,同时保持行为完全一致。
    61. 

  61. 	rl := middleware.NewRateLimitMiddleware(
    62. 

  62. 		rds, 60, 1,
    63. 

  63. 		cfg.CacheRedis.KeyPrefix+":rl:refresh:wiring:"+testutil.UniqueId(),
    64. 

  64. 		false, /* behindProxy: 与默认配置一致,本测试用 RemoteAddr */
    65. 

  65. 	)
    66. 

  66. 	inner := pub.RefreshTokenHandler(svcCtx)
    67. 

  67. 	wrapped := rl.Handle(func(w http.ResponseWriter, r *http.Request) {
    68. 

  68. 		inner.ServeHTTP(w, r)
    69. 

  69. 	})
    70. 

  70. 

  71. 	// 固定 RemoteAddr,两次请求同 IP 不同端口,必须共享同一限流桶。
    72. 

  72. 	doRequest := func(remoteAddr string) (*httptest.ResponseRecorder, response.Body) {
    73. 

  73. 		req := httptest.NewRequest(http.MethodPost, "/api/auth/refreshToken", strings.NewReader("{}"))
    74. 

  74. 		req.Header.Set("Content-Type", "application/json")
    75. 

  75. 		req.RemoteAddr = remoteAddr
    76. 

  76. 		rr := httptest.NewRecorder()
    77. 

  77. 		wrapped(rr, req)
    78. 

  78. 		var body response.Body
    79. 

  79. 		_ = json.Unmarshal(rr.Body.Bytes(), &body)
    80. 

  80. 		return rr, body
    81. 

  81. 	}
    82. 

  82. 

  83. 	// 第 1 次:放行,进入 RefreshTokenHandler 后因缺 Authorization 返回 401(业务层)
    84. 

  84. 	_, body1 := doRequest("198.51.100.7:40001")
    85. 

  85. 	assert.NotEqual(t, 429, body1.Code, "首次请求必须放行,由业务层决定返回码;实际 code=%d msg=%q", body1.Code, body1.Msg)
    86. 

  86. 

  87. 	// 第 2 次:同 IP 不同端口,必须被限流拦截,返回 429 "请求过于频繁..."
    88. 

  88. 	_, body2 := doRequest("198.51.100.7:40002")
    89. 

  89. 	assert.Equal(t, 429, body2.Code,
    90. 

  90. 		"/api/auth/refreshToken 必须受 IP 维度限流保护;quota=1 时第 2 次必须 429。实际 code=%d msg=%q", body2.Code, body2.Msg)
    91. 

  91. 	assert.Contains(t, body2.Msg, "过于频繁",
    92. 

  92. 		"429 的业务文案必须是用户可读的限流提示,而不是原始 limiter 错误")
    93. 

  93. 

  94. 	// 不同 IP 必须不受影响,证明限流是 per-IP 而不是全局。
    95. 

  95. 	_, body3 := doRequest("203.0.113.9:55555")
    96. 

  96. 	assert.NotEqual(t, 429, body3.Code, "不同 IP 必须独立计数;不应被前一 IP 的 burst 牵连,实际 code=%d", body3.Code)
    97. 

  97. }
    98. 

  98. 

  99. // ---------------------------------------------------------------------------
    100. 

  100. // 覆盖目标:
    101. 

  101. // `/api/product/fetchInitialCredentials` 必须挂载 `serverCtx.JwtAuth` 中间件,
    102. 

  102. // 且必须位于 /api/product 前缀组内,不能被错放到其他无鉴权/错前缀块中。
    103. 

  103. //
    104. 

  104. // 为什么这条 wiring 需要独立钉死:
    105. 

  105. // 1. routes.go 由 goctl 生成,回归时若有人用 `goctl api go -api ... -dir .`
    106. 

  106. // 覆写此文件,可能把新路由吞掉或挪到无 JwtAuth 包裹的块(例如误标
    107. 

  107. // `@handler` 在 pub 组)。静态检查能最早拦截。
    108. 

  108. // 2. 安全假设是"只有超级管理员能消费 ticket"。RequireSuperAdmin 依赖 JwtAuth
    109. 

  109. // 中间件写入 UserDetails;若 JwtAuth 被去掉,handler 自身仅能回 401(无 ctx),
    110. 

  110. // **但任何持有前端伪造 UserDetails 注入方式**的攻击者都会直接绕过
    111. 

  111. // wiring 锚点确保这条防线永远在最外层。
    112. 

  112. // ---------------------------------------------------------------------------
    113. 

  113. 

  114. // TC-0967: routes.go 必须把 /product/fetchInitialCredentials 挂到 JwtAuth 包裹块,
    115. 

  115. // 并且处于 /api/product 前缀下(而不是 /api 或其他无超管审查的位置)。
    116. 

  116. func TestRoutes_FetchInitialCredentialsJwtAuthWired(t *testing.T) {
    117. 

  117. 	raw, err := os.ReadFile("./routes.go")
    118. 

  118. 	require.NoError(t, err, "必须能读到 internal/handler/routes.go")
    119. 

  119. 	src := string(raw)
    120. 

  120. 

  121. 	// go-zero 生成的 AddRoutes 块结构:
    122. 

  122. 	// server.AddRoutes(
    123. 

  123. 	// rest.WithMiddlewares([]rest.Middleware{serverCtx.XxxMiddleware}, []rest.Route{
    124. 

  124. 	// {...Path: "/a"...},
    125. 

  125. 	// {...Path: "/fetchInitialCredentials"...},
    126. 

  126. 	// ...
    127. 

  127. 	// }...),
    128. 

  128. 	// rest.WithPrefix("/api/product"),
    129. 

  129. 	// )
    130. 

  130. 	// 我们需要:
    131. 

  131. 	// 1. 定位到 /fetchInitialCredentials 所在的 AddRoutes 块整段;
    132. 

  132. 	// 2. 从块里摘出 rest.Middleware{...} 列表做字符串断言;
    133. 

  133. 	// 3. 从块里摘出 rest.WithPrefix("...") 的 prefix 做断言。
    134. 

  134. 	// 简单起见,按"向上/向下扩展"的方式提取:以 "server.AddRoutes(" 为起点、往下到首个
    135. 

  135. 	// "rest.WithPrefix(\"...\")" 为止的整段。
    136. 

  136. 	addRoutesBlockRe := regexp.MustCompile(
    137. 

  137. 		`(?s)server\.AddRoutes\(\s*rest\.WithMiddlewares\(\s*\[\]rest\.Middleware\{([^}]*)\}[\s\S]*?"/fetchInitialCredentials"[\s\S]*?rest\.WithPrefix\("([^"]+)"\)`,
    138. 

  138. 	)
    139. 

  139. 	m := addRoutesBlockRe.FindStringSubmatch(src)
    140. 

  140. 	require.NotEmpty(t, m,
    141. 

  141. 		"routes.go 中 /fetchInitialCredentials 必须位于 server.AddRoutes(rest.WithMiddlewares(...), rest.WithPrefix(...)) 结构块里;未匹配说明路由被剥离或迁移到其他结构")
    142. 

  142. 

  143. 	middlewaresList := m[1]
    144. 

  144. 	prefix := m[2]
    145. 

  145. 

  146. 	assert.Contains(t, middlewaresList, "serverCtx.JwtAuth",
    147. 

  147. 		"/product/fetchInitialCredentials 必须挂载 JwtAuth 中间件,否则 RequireSuperAdmin 的上下文前置条件不成立;实际中间件列表=%q", middlewaresList)
    148. 

  148. 	assert.Equal(t, "/api/product", prefix,
    149. 

  149. 		"/fetchInitialCredentials 必须位于 /api/product 前缀组下;实际 prefix=%q", prefix)
    150. 

  150. }
    151. 

  151. 

  152. // TC-0968: 防御性 wiring 检查 —— 绝不允许把 fetchInitialCredentials 挂到任何
    153. 

  153. // *非 JwtAuth* 的中间件块中。此用例是 TC-0967 的"反证":哪怕有人把 JwtAuth 改名
    154. 

  154. // 成另一条鉴权中间件但语义错位,也会被这里拦住。
    155. 

  155. func TestRoutes_FetchInitialCredentialsNotInRateLimitGroup(t *testing.T) {
    156. 

  156. 	raw, err := os.ReadFile("./routes.go")
    157. 

  157. 	require.NoError(t, err)
    158. 

  158. 	src := string(raw)
    159. 

  159. 

  160. 	// 检查"限流中间件包裹块内"是否误引入了 fetchInitialCredentials
    161. 

  161. 	for _, name := range []string{"AdminLoginRateLimit", "ProductLoginRateLimit", "RefreshTokenRateLimit", "SyncRateLimit"} {
    162. 

  162. 		re := regexp.MustCompile(`(?s)rest\.WithMiddlewares\(\s*\[\]rest\.Middleware\{[^}]*?` + name + `[^}]*?\}[^)]*?"/fetchInitialCredentials"`)
    163. 

  163. 		assert.False(t, re.MatchString(src),
    164. 

  164. 			"/fetchInitialCredentials 绝不能被挂到 %s 中间件组(会绕过 JwtAuth / RequireSuperAdmin)", name)
    165. 

  165. 	}
    166. 

  166. }
    167.