Почему тест проваливается даже при отсутствии условий?

Question

[Kentavr16]

есть метод контроллера

public function update(Request $request, string $id)
    {
        $productToUpdate = Product::find($id);
        if (!$productToUpdate){
            return response()->json(["message"=>"Product id $id not found"],404);
        }
        $this->authorize("update",$productToUpdate);
        $isUpdated = $productToUpdate->update($request->all());
        if($isUpdated){
            return response()->json(["message"=>"Product id $id has been updated"],200);
        }else{
            return response()->json(["message"=>"Error has occured during the product id $id update"],400);
        }
    }

Написал под него тест -

public function test_user_without_permissions_cant_update_product(): void
    {
        $this->seed(PermissionsTableSeeder::class);
        $this->seed(RolesTableSeeder::class);
        $productToPatch = Product::factory()->create();
        $user=User::factory()->create();
        $user->assignRole('site_user');
        $this->actingAs($user);
        $newData = [
          "name"=>"updated name"
        ];
        $response = $this->patch("/api/products/$productToPatch->id",$newData)->json();
    }

тест обозначается как failed: This action is unauthorized.
Причем как видите я убрал все проверки, но тест все равно валится. до этого пробовал expectException(AuthorizationException::class);, $response->assertStatus(403),но ведь проблема в том что он в любом случае заваливается. Не совсем понимаю логику происходящего.

Comments

[Дмитрий]

Может стоит ждать 401 а не 403? $response->assertStatus(401)?

[Дмитрий]

Ну и вообще.
1. Стоит использовать Route Model Binding и свести всю это фигню

if (!$productToUpdate){
            return response()->json(["message"=>"Product id $id not found"],404);
}

к

$this->renderable(function (ModelFoundHttpException $e, Request $request) {
        if ($request->expectsJson()) {
            return response()->json([
                'message' => $e->getModel().' '.$e->getIds().' not found.'
            ], 404);
        }
    });

И не заниматься написанием одного и того же по всем контроллерам если уж вам хочется свой текст - хотя вообще достаточно http кода - а уж фронт который лезет на бэк явно должен знать за чем он лезет и сможет сопоставить 404 и сказать что он не может найти

2. Тогда это
$this->authorize("update",$productToUpdate);
У вас вынесется в middleware can и опять же таки не придется множить это по всем контроллерам или в FormRequest когда вы решите валидировать данные которые к вам прилетают

3. Если вы уж используете сидеры - зачем вам это? Запихните это в сидер - если уж так хочется создайте под это отдельный класс.

$productToPatch = Product::factory()->create();
$user=User::factory()->create();
$user->assignRole('site_user');

И получаете уже готовых пользователей - $user=User::byRole('site_name')->first();

[Kentavr16]

Дмитрий, спасибо за отличный комментарий! По поводу 1 - обязательно ознакомлюсь. За авторизацию знаю - буду рефакторить в отдельной ветке когда напишу тесты и все начнет работать. Изначально пытался привязать политики по совету в доках для ресурсного контроллера

public function __construct()
    {
        $this->authorizeResource(Post::class, 'post');
    }

но привязки не произошло, решил вернуться позже.
3 - тоже разумно, обязательно воспользуюсь. Спасибо.

Answer 1

[Kentavr16]

В общем, судя по информации на форумах ошибка чаще всего должна указывать на проблемы с авторизацией/политиками безовасности, что логично. Я решил отключить проверку -

public function update(User $user, Product $product): bool
    {
       // return $user->can('edit notes');
        return true;
    }

и как результат тест выдал другую ошибку - Call to a member function assertStatus() on array

Да, все оказалось просто - я не должен был вызывать сразу метод json в

$response = $this->patch("/api/products/$productToPatch->id",$newData)->json();

, так как в итоге получил массив, на котором пробовал вызвать assertStatus. Обманчивый статус ошибки однако.