超级测试，测试安全REST API

Question

我正在编写一个受jwt保护的REST API的集成测试。 一个API术后/user/token是返回jwt给予username和password这个令牌然后用于如操作的列表：

GET /user/:id 

，在此路由使用jwt({secret: secret.secretToken})，所以令牌纳入http标头Authorization。

当使用超级测试进行测试时，我可以进行嵌套测试，但是我想先获取令牌，然后将此令牌用于其他操作测试。

POST /user/token => 12345 
GET /user/:id, `Authorization Bearer 12345` 
GET /user/:foo, `Authorization Bearer 12345` 

如何避免生成新令牌每个操作测试（见下文），但仅使用单个一个由POST /用户/令牌生成。

it('should get a valid token for user: user1', function(done) { 
    request(url) 
    .post('/user/token') 
    .send({ _id: user1._id, password: user1.password }) 
    .expect(200) // created 
     .end(function(err, res) { 
     // test operation GET /user/:id 

Answer 1

您想执行单个POST到/user/token，然后使用每个测试用例中收到的令牌吗？如果是，则使用您正在使用的测试框架的before挂钩（Mocha？）并将令牌存储到变量中，例如

describe('My API tests', function() { 

    var token = null; 

    before(function(done) { 
    request(url) 
     .post('/user/token') 
     .send({ _id: user1._id, password: user1.password }) 
     .end(function(err, res) { 
     token = res.body.token; // Or something 
     done(); 
     }); 
    }); 

    it('should get a valid token for user: user1', function(done) { 
    request('/get/user') 
     .set('Authorization', 'Bearer ' + token) 
     .expect(200, done); 
    }); 
}); 

Answer 2

需要设置授权为“承载” +令牌

var token = null; 

before(function(done) { 
    request(url) 
     .post('/user/token') 
     .send({ _id: user1._id, password: user1.password }) 
     .end(function(err, res) { 
     token = res.body.token; // Or something 
     done(); 
     }); 
    }); 


it('should get a valid token for user: user1', function(done) { 
    request('/get/user') 
     .set('Authorization', 'Bearer ' + token) 
     .expect(200, done); 
    });