MojoliciousのTest::MojoでCSRF対策済みのAPIのテスト

とてもピンポイントです。まあハマったのでメモ。
MojoliciousというのはPerlのWebフレームワークです。
割と使いやすい。

さて、CSRF対策したらAPIのユニットテスト動かない参ったぁぁぁ、、、
という貴方はごく少数だと思いますが、
一応動いたのでまとめます。最適かどうかは知らない（下にコメントplz）

csrf_protectはSessionに入ってるトークンと、
ユーザから投げられるトークンを突き合わせて、合ってたらOKという仕組みです。
なので必要な追加要件はこんな感じです。

a. トークンの発行
b. MojoliciousのSession(cookie)にトークンをはめる
c. POSTパラメータかHeaderにトークンをはめる
d. あとは普通にリクエスト

トークンはDefaultHelperのcsrf_tokenで発行できます。これをセッションとヘッダにはめていきます。
厄介なのはセッションです。
Mojoliciousのセッションはご存じの通りCookieに保存されています。

これは下記の手順で再現できます。
1. key-valueなJSONを準備
2. 1をシリアライズ（string）
3. BASE64エンコード
4. 3にチェックサムをつける
5. cookieにはめる

なんか長いですが、ソースにすると数行です。
1～3はMojolicious::Sessions->store、
4はMojolicious::Controller->signed_cookie、
5はMojo::TestのDocに書いてあります。

エッセンスは下記。
これ自体は動かしてないので、そのままコピペしても動かない、と思う。

use Test::Mojo;

use Mojo::Util;



# Token生成

my $token = $t->c->csrf_token;



# Sessionのハッシュ

my $session = {

  'csrf_token'=>$token,

  'expires'=>time+3600,

};



# シリアライズして、BASE64エンコード

my $value = b64_encode &Mojo::JSON::encode_json($session, '');

$sum = Mojo::Util::hmac_sha1_sum("$name=$value", $t->c->app->secrets->[0]);



# 値とチェックサム--で繋げる

my $enc_sess = "$value--$sum";



# ヘッダとCookieに値をはめて、あとは普通に送信

my $tx = $t->ua->build_tx(POST => '/hogehoge');

$tx->req->headers->append('X-CSRF-Token', $token);

$tx->req->cookies({name => 'sid', value => 'セッション値'});

$tx->req->cookies({name => $t->c->app->sessions->cookie_name, value => $enc_sess});

あとはきあいで（ぇ