Comment testez-vous l'autorisation d'une page Web à l'aide d'ASP.NET MVC?

Question

Imaginons que vous ayez une page de profil accessible uniquement par le propriétaire de ce profil. Cette page de profil se trouve à l'adresse:

utilisateur/Profil/{userID}

Maintenant, j'imagine afin d'empêcher l'accès à cette page par d'autres utilisateurs, vous pouvez structurer votre fonction de profil de classe UserController pour vérifier le courant l'identité de session:

HttpContext.Current.User.Identity.Name

Si l'ID correspond à celui de l'URL, puis continuer. Sinon, vous redirigez vers une sorte de page d'erreur.

Ma question est de savoir comment testez-vous quelque chose comme ça? Je devine que vous devez utiliser une sorte d'injection de dépendance au lieu de HttpContext dans le contrôleur pour faire la vérification, mais je ne sais pas quelle est la meilleure façon de le faire. Tout conseil serait utile.

Answer 1

J'ai fini par aller avec le « UserNameFilter » montré dans Kazi blog post de Manzur. Fonctionne comme un charme et un test facile à l'unité.

Answer 2

Vous pouvez probablement le faire en utilisant un faux pour le contexte du contrôleur. Découvrez cet article: http://stephenwalther.com/blog/archive/2008/07/01/asp-net-mvc-tip-12-faking-the-controller-context.aspx

Answer 3

Le lien ci-dessus est un bon. Je voudrais aussi ajouter qu'au lieu de vérifier la valeur de programmation User.Identity.Name, vous devez utiliser les attributs comme indiqué Autorisez dans l'article:

http://weblogs.asp.net/scottgu/archive/2008/07/14/asp-net-mvc-preview-4-release-part-1.aspx

Answer 4

C'est là que le ridicule vient, avec un faux HttpContext.