java.lang.AssertionError: Status expected:<201> but was:<403>

🚨오류

java.lang.AssertionError: Status expected:<201> but was:<403>
	at org.springframework.test.util.AssertionErrors.fail(AssertionErrors.java:61)
	at org.springframework.test.util.AssertionErrors.assertEquals(AssertionErrors.java:128)
	at org.springframework.test.web.servlet.result.StatusResultMatchers.lambda$matcher$9(StatusResultMatchers.java:640)
	at org.springframework.test.web.servlet.MockMvc$1.andExpect(MockMvc.java:214)
	at com.mini_prioject.display_board.controller.UserControllerTest.createUserSuccessTest(UserControllerTest.java:60)
	at java.base/java.lang.reflect.Method.invoke(Method.java:568)
	at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)
	at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)

 

 

✍️원인

 

@WebMvcTest 또는 MockMvc를 사용할 때는 Spring Security가 자동으로 CSRF 검사를 활성화

따라서 CSRF 토큰이 없는 요청은 403 Forbidden 오류가 발생할 수 있음

 

 

• CSRF(Cross-Site Request Forgery) 

- 공격자가 악의적인 코드를 심어놓은 사이트를 만들어놓고, 로그인 된 사용자가 클릭하게 만들어 사용자 의지와 무관한 요청을 발생시키는 공격

- 사용자는 로그인 한 상태고 쿠키, 권한을 갖고있기 때문에 공격자가 위조한 웹사이트에 방문하게 되면 사용자 모르게 악의적인 POST, DELETE 요청을 정상 수행하도록 만들어버리는 공격

- 이를 해결하기 위해 스프링 시큐리티에서는 "CSRF 토큰" 을 이용해 토큰 값을 비교해서 일치하는 경우에만 메서드를 처리하도록 만든다.

@SpringBootTest
@Controller, @Service, @Component, @Bean 등등 모두 다 불러와서 실제 환경과 동일하게 테스트 하고자 할 때 사용

@WebMvcTest
Using this annotation will disable full auto-configuration and instead apply only configuration relevant to MVC tests  (i.e.@Controller, @ControllerAdvice, @JsonComponent, Converter/GenericConverter, Filter, WebMvcConfigurer and HandlerMethodArgumentResolver beans but not @Component, @Service or @Repository beans).

By default, tests annotated with @WebMvcTest will also auto-configure Spring Security and MockMvc


@MockitoBean으로 주입해준 UserService 빈은 #0이 뒤에 붙어서 스프링 빈으로 저장
UserService 빈은 MockitoMock을 통해 반들어져있고 내부는 다 null로 채워져있으므로,텅 비어있는 userService 빈을 실제 동작하는 것처럼 흉내내기 위해서 Mocking(given)을 설정

 

✅해결

MockMvc 요청에 .with(csrf()) 추가

mockMvc.perform(post("/api/v1/users")
        .with(csrf())
        .contentType(MediaType.APPLICATION_JSON)
        .content(objectMapper.writeValueAsString(request)))
    .andExpect(status().isCreated());

csrf() 옵션

Creates a RequestPostProcessor that will automatically populate a valid CsrfToken in the request.
Returns: the SecurityMockMvcRequestPostProcessors.CsrfRequestPostProcessor for further customizations.

 

BeforeEach에 설정

@Autowired
private MockMvc mockMvc;

@Autowired
WebApplicationContext webApplicationContext;

@BeforeEach
void setUp() {
this.mockMvc = MockMvcBuilders
    .webAppContextSetup(webApplicationContext)
    .apply(springSecurity())
    .defaultRequest(post("/**").with(csrf()))
    .defaultRequest(put("/**").with(csrf()))
    .defaultRequest(delete("/**").with(csrf()))
    .build();
}

 

 

 

📚참고

https://velog.io/@shwncho/Spring-security-6-Controller-test-403-Forbidden-%EC%97%90%EB%9F%ACfeat.-csrf

[Spring security 6] Controller test 403 Forbidden 에러(feat. csrf)

https://suhyeon-developer.tistory.com/38

[SpringBoot] Controller Unit Test에서 발생한 401, 403 에러를 해결해보자! (+ Spring Security)

https://velog.io/@tjdtn0219/SpringSecurity%EC%A0%81%EC%9A%A9-%ED%9B%84-Controller-%ED%85%8C%EC%8A%A4%ED%8A%B8%EC%BD%94%EB%93%9C-%EC%9E%91%EC%84%B1-%EC%8B%9C-%EB%B0%9C%EC%83%9D%ED%96%88%EB%8D%98-%EC%98%A4%EB%A5%98%EB%93%A4-Feat.-Junit5-csrf

[Spring]Security적용 후 Controller 테스트코드 작성 시 발생했던 오류들 (Feat. Junit5, csrf)

https://0soo.tistory.com/188

@WebMvcTest Security 401 403 응답 해결방법 - csrf

https://kth990303.tistory.com/408

[Spring Security] MockMvc에서 csrfToken을 이용해 403 Forbidden을 해결해보자

https://sedangdang.tistory.com/303

@WebMvcTest 에서 Spring Security 적용, 401/403 에러 해결하기 - csrf