Inicio Explorar Axuda
Rexistro Iniciar sesión
181-template-168
/
mini-starter
Fork de 155-template-138/mini-starter
2
0
Fork 0
Ficheiros
Árbore: 1380403182
Ramas Etiquetas
mini-starter
/
docs
/
stories
/
004.002.authentication-api-testing.md

004.002.authentication-api-testing.md 4.9 KB
Histórico Raw

Story 004.002: 认证API实际请求测试

父史诗: 史诗004 - API实际请求测试基础设施 docs/prd/epic-004-api-actual-request-testing.md

Status

Draft

Story

As a 质量保证工程师 I want 实现认证API的实际HTTP请求测试 so that 我可以在真实数据库环境下验证认证和授权流程的正确性,确保系统安全功能的可靠性

Acceptance Criteria

  1. 登录端点测试实现 - 支持多种认证场景(正确凭据、错误凭据、禁用账户)
  2. 令牌验证端点测试实现 - 验证JWT令牌的有效性和过期处理
  3. 权限检查端点测试实现 - 验证基于角色的访问控制
  4. 错误处理测试覆盖 - 包含认证失败、令牌过期、权限不足等场景
  5. 性能基准测试 - 认证操作响应时间<200ms

Tasks / Subtasks

  • 实现登录端点测试 (AC: #1)
    • 正确凭据登录测试
    • 错误凭据登录测试
    • 禁用账户登录测试
  • 实现令牌验证端点测试 (AC: #2)
    • 有效令牌验证测试
    • 过期令牌验证测试
    • 无效令牌验证测试
  • 实现权限检查端点测试 (AC: #3)
    • 管理员权限验证测试
    • 用户权限验证测试
    • 无权限访问测试
  • 实现错误处理测试 (AC: #4)
    • 认证失败错误处理测试
    • 令牌过期错误处理测试
    • 权限不足错误处理测试
  • 实现性能基准测试 (AC: #5)
    • 登录操作性能测试
    • 令牌验证性能测试

Dev Notes

技术栈和测试框架 [Source: architecture/tech-stack.md#测试框架]

  • 测试框架: Vitest 2.x + Hono Testing (testClient)
  • 测试位置: src/server/api/auth/__tests__/ 目录
  • 数据库: 使用真实PostgreSQL数据库连接进行测试
  • 认证机制: JWT Bearer Token认证
  • 覆盖率目标: 核心认证API端点测试覆盖率100%

项目结构指导 [Source: architecture/source-tree.md#API测试]

  • 遵循架构设计: API测试文件应位于对应API端点的 __tests__ 文件夹中
  • 目录结构: 认证测试放到 src/server/api/auth/__tests__/
  • 测试工具: 复用现有的集成测试工具函数
  • 测试数据: 使用现有的TestDataFactory创建测试用户和角色

现有测试基础设施 [Source: 故事004.001实现]

  • ✅ 已有测试数据库工具: src/server/__test_utils__/integration-test-db.ts
  • ✅ 已有集成测试工具: src/server/__test_utils__/integration-test-utils.ts
  • ✅ 已有测试数据工厂: TestDataFactory.createTestUser()
  • ✅ 已有用户API测试示例: src/server/api/users/__tests__/users.integration.test.ts
  • ✅ 使用hono/testing的testClient(),提供类型安全
  • ✅ 使用真实数据库连接而不是mock

API端点信息 [Source: api-design-integration.md]

  • 认证端点:
    • POST /api/v1/auth/login - 用户登录
    • POST /api/v1/auth/verify - 令牌验证
    • GET /api/v1/auth/permissions - 权限检查
  • 认证机制: JWT Bearer Token
  • 权限控制: 基于角色的访问控制(RBAC)

安全考虑 [Source: architecture/security-integration.md]

  • 测试环境使用独立的测试数据库,与生产环境完全隔离
  • 测试数据使用生成的测试用户,不包含真实凭据
  • 敏感测试数据(如JWT令牌)进行适当处理
  • 测试完成后自动清理所有测试数据
  • 测试环境网络隔离,防止安全风险

测试标准要求 [Source: architecture/coding-standards.md#测试标准]

  • 测试文件命名: auth.integration.test.ts
  • 测试组织: 使用describe/it块结构
  • 断言风格: Expect语法
  • 测试数据: 使用工厂函数创建测试用户和角色
  • 错误测试: 包含各种错误场景的测试用例

Testing

测试策略

  • 测试类型: 集成测试(实际HTTP请求 + 真实数据库)
  • 测试范围: 所有核心认证API端点
  • 测试数据: 使用工厂模式创建测试用户、角色和权限
  • 清理机制: 每个测试用例后清理测试数据
  • 安全测试: 包含各种认证失败场景

测试验证点

  • HTTP状态码验证(200, 401, 403等)
  • JWT令牌生成和验证正确性
  • 响应数据结构验证
  • 数据库状态验证(用户会话等)
  • 错误处理验证
  • 性能基准验证(响应时间 < 200ms)

测试报告

  • Vitest测试报告生成
  • 覆盖率报告集成
  • CI/CD流水线自动执行

Change Log

Date Version Description Author
2025-09-17 1.0 初始故事创建 Sarah (PO)

Dev Agent Record

Agent Model Used

-

Debug Log References

-

Completion Notes List

-

File List

  • src/server/api/auth/__tests__/auth.integration.test.ts - 认证API集成测试
  • 可能需要更新的相关文件:
    • src/server/__test_utils__/integration-test-db.ts - 如果需要添加认证相关测试数据
    • src/server/__test_utils__/integration-test-utils.ts - 如果需要添加认证测试工具函数

QA Results