Schemathesis 中认证与自定义会话的响应验证问题分析

问题背景

在使用 Schemathesis 进行 API 测试时，当端点配置了安全认证参数(security)并且通过 session 参数传递了自定义测试客户端时，响应验证会出现失败情况。这个问题主要出现在结合 FastAPI 和 Starlette TestClient 的使用场景中。

问题现象

开发者按照官方文档示例，编写了如下测试代码：

from typing import Annotated
from fastapi import FastAPI, Security
from fastapi.security import APIKeyHeader
from starlette_testclient import TestClient
import schemathesis

app = FastAPI()

@app.get("/", responses={200: {"model": {}}, 403: {"model": {}}})
def root(api_key: Annotated[str, Security(APIKeyHeader(name="x-api-key"))]):
    return {"message": "Hello world"}

schema = schemathesis.from_asgi("/openapi.json", app)

@schema.parametrize()
def test_api(case):
    client = TestClient(app)
    case.call_and_validate(session=client)

执行测试时会抛出连接错误，表明 Schemathesis 尝试通过 HTTP 连接而不是使用提供的 TestClient 进行请求。

技术分析

根本原因

问题出在 Schemathesis 的响应验证逻辑中。在检查响应头时，代码直接创建了一个新的 requests.Session 实例，而没有考虑用户提供的自定义会话对象。这导致验证过程与实际测试使用了不同的客户端，从而引发连接错误。

影响范围

该问题影响以下使用场景：

1. API 端点配置了安全认证
2. 测试中使用了自定义的测试客户端(如 Starlette 的 TestClient)
3. 使用 call_and_validate 方法进行测试

解决方案

Schemathesis 团队在 3.34.2 版本中修复了这个问题。修复的核心是确保响应验证使用与测试相同的会话对象，而不是创建新的 HTTP 连接。

最佳实践

对于需要自定义测试客户端的场景，建议：

1. 确保使用最新版本的 Schemathesis
2. 明确指定 session 参数
3. 对于 ASGI/WSGI 应用，优先使用对应的测试客户端
4. 在测试中统一使用相同的会话对象

总结

这个问题展示了在测试框架中处理自定义客户端时可能遇到的挑战。Schemathesis 的快速响应和修复体现了其对开发者体验的重视。对于 API 测试开发者来说，理解测试工具与实际请求之间的交互方式非常重要，特别是在涉及认证和自定义客户端的情况下。