¿Cómo se prueba la autorización de la página web mediante ASP.NET MVC?

Question

Digamos que tiene una página de perfil a la que solo puede acceder el propietario de ese perfil. Esta página de perfil se encuentra en:

usuario/perfil/{ID de usuario}

Ahora, imagínese con el fin de impedir el acceso a esta página por otros usuarios, se podría estructurar la función del perfil de la clase UserController para comprobar la corriente la identidad de la sesión:

HttpContext.Current.User.Identity.Name

Si la identificación coincida con la de la dirección URL, a continuación, se procede. De lo contrario, redirige a algún tipo de página de error.

Mi pregunta es ¿cómo pruebas tu unidad de esta manera? Supongo que necesitas usar algún tipo de inyección de dependencia en lugar del HttpContext en el controlador para controlar, pero no estoy seguro de cuál es la mejor manera de hacerlo. Cualquier consejo sería útil.

Answer 1

Terminé yendo con el "UserNameFilter" se muestra en Kazi Manzur's blog post. Funciona como un encanto y prueba fácil de unidad.

Answer 2

Probablemente pueda hacerlo utilizando un falso para el contexto del controlador. Echa un vistazo a este artículo: http://stephenwalther.com/blog/archive/2008/07/01/asp-net-mvc-tip-12-faking-the-controller-context.aspx

Answer 3

El enlace de arriba es bueno. También me gustaría añadir que en vez de comprobar mediante programación el valor User.Identity.Name, debe utilizar los atributos de autorización, según se describe en el artículo:

http://weblogs.asp.net/scottgu/archive/2008/07/14/asp-net-mvc-preview-4-release-part-1.aspx

Answer 4

Aquí es donde entra la burla, con un HttpContext falso.