fix(tests): 修复 PR #283 的测试问题

[jangrui]

📋 修复说明

基于 PR #283 (新增支持LDAP登录) 修复了单元测试问题。

🔍 问题分析

PR #283 添加了 LDAP 认证支持，修改了 LocalAuthService 的构造函数，增加了两个参数：

• LdapProperties ldapProperties
• LdapAuthService ldapAuthService

虽然测试文件已更新，但存在以下问题：

1. 缺少显式 mock 配置：未明确设置 ldapProperties.isEnabled() 的返回值
2. 缺少 LDAP 回退功能的测试覆盖

✅ 修复内容

1. 显式配置 mock 默认行为

@BeforeEach
void setUp() {
    // 默认禁用 LDAP，确保原有测试不受影响
    given(ldapProperties.isEnabled()).willReturn(false);
    // ...
}

2. 添加 3 个新的测试用例

• ✅ login_withUnknownUsername_fallsBackToLdap_whenEnabled - 验证 LDAP 回退功能
• ✅ login_withUnknownUsername_fails_whenLdapAuthenticationFails - 验证认证失败处理
• ✅ login_withUnknownUsername_fails_whenLdapDisabled - 验证禁用时的行为

📊 测试影响

• 确保所有原有测试不受 LDAP 功能影响
• 增加对 LDAP 回退功能的测试覆盖
• 提高测试稳定性和可维护性

🔗 相关链接

• 原始 PR: 新增支持LDAP登录https://github.com/iflytek/skillhub/issues/260 #283
• Issue: [Feature] 能否支持企业内部的ldap登录 #260

📝 提交记录

• 6f01b438 - fix(tests): 明确配置 LDAP mock 默认行为并添加 LDAP 回退测试

---

此修复确保了 LDAP 功能的正确性和测试的完整性。

[CLAassistant]

All committers have signed the CLA.

[gemini-code-assist]

Code Review

This pull request introduces LDAP authentication as a fallback mechanism when local authentication fails. Key changes include the addition of LDAP configuration properties, a new LdapAuthService for directory integration, and updates to LocalAuthService to handle the fallback logic. Feedback focuses on critical issues such as potential account duplication when the email attribute is missing, resource leaks due to unclosed LDAP contexts, and the recommendation to use LdapTemplate instead of manual JNDI operations. Additionally, a compilation error in the unit tests regarding the PlatformPrincipal constructor was identified.

[gemini-code-assist]

如果 LDAP 的 mail 属性缺失或为空，user 变量将保持为 null，导致每次登录时都会创建并保存一个新的 UserAccount。这将导致同一个 LDAP 用户产生重复账号，并在不同会话之间丢失用户数据。建议使用唯一且稳定的 LDAP 标识符（如 uid 或 entryUUID）将 LDAP 用户链接到本地账户，或者至少确保在缺少邮箱时使用 username 作为识别回退。

[jangrui]

✅ 已修复

修复方案：使用 ldap:{username}@internal 作为唯一标识符，确保同一 LDAP 用户始终映射到同一个本地账号，防止重复账号创建和用户数据丢失。

提交: d8b507b

[gemini-code-assist]

此处使用的 PlatformPrincipal 构造函数与 LocalAuthService 和 LdapAuthService 中的实际调用不匹配。服务代码期望的参数列表为 (String id, String displayName, String email, String avatarUrl, String provider, Set<String> roles)，但此测试传递的是 (String, String, String, Set, Set, Set)。这将导致编译错误。

Suggested change

	PlatformPrincipal ldapPrincipal = new PlatformPrincipal(
	"usr_ldap",
	"ldapuser",
	"ldapuser@example.com",
	Set.of("USER"),
	Set.of(),
	Set.of()
	);
	PlatformPrincipal ldapPrincipal = new PlatformPrincipal(
	"usr_ldap",
	"ldapuser",
	"ldapuser@example.com",
	null,
	"ldap",
	Set.of("USER")
	);

[jangrui]

✅ 已修复

修复方案：更正 PlatformPrincipal 构造函数参数顺序为：
(userId, displayName, email, avatarUrl, oauthProvider, roles)

与 LocalAuthService 和 LdapAuthService 中的调用保持一致。

提交: d8b507b

[gemini-code-assist]

DirContext 没有在 finally 块中或使用 try-with-resources 正确关闭。如果 ctx.getAttributes 抛出异常，LDAP 连接将会泄露。此外，LDAP 搜索产生的 NamingEnumeration 结果（例如第 153 行）也应显式关闭以释放资源。

[jangrui]

✅ 已修复

修复方案：在 finally 块中显式关闭 NamingEnumeration 和 DirContext，防止资源泄露。

finally {
    if (results != null) {
        try {
            results.close();
        } catch (Exception e) {
            log.warn("Failed to close LDAP search results", e);
        }
    }
    closeContext(ctx);
}

提交: d8b507b

[gemini-code-assist]

该类注入了 LdapTemplate，但仍使用 InitialDirContext 执行手动 JNDI 操作。这是冗余且容易出错的。你应该利用 LdapTemplate 进行搜索和认证，它会自动处理连接池、资源管理和异常转换。这将显著简化代码并消除潜在的资源泄露风险。

[jangrui]

ℹ️️ 不采纳

原因：

1. 保持代码一致性：原 PR 新增支持LDAP登录https://github.com/iflytek/skillhub/issues/260 #283 使用手动 JNDI 操作，为保持一致性，我们沿用了该模式
2. 资源管理已修复：通过显式关闭 NamingEnumeration 和 DirContext，资源泄露问题已解决
3. 最小化变更原则：作为 bug 修复 PR，应尽量减少架构性变更
4. 功能完整性：手动 JNDI 操作提供了更细粒度的控制，便于调试和错误处理

未来改进建议：如果进行大规模重构，可以考虑迁移到 LdapTemplate。

提交: d8b507b

[jangrui]

@dongmucat

您好！这个 PR 修复了 PR #283 的测试问题，包括：

• 明确配置 LDAP mock 默认行为
• 添加 LDAP 回退功能测试
• 修复 Gemini Code Assist 指出的关键问题（重复账号、资源泄露）

当前有 2 个 workflows 需要您的批准：

• PR Tests
• PR E2E Tests

烦请批准运行，谢谢！

[dongmucat]

@dongmucat

您好！这个 PR 修复了 PR #283 的测试问题，包括：

• 明确配置 LDAP mock 默认行为
• 添加 LDAP 回退功能测试
• 修复 Gemini Code Assist 指出的关键问题（重复账号、资源泄露）

当前有 2 个 workflows 需要您的批准：

• PR Tests
• PR E2E Tests

烦请批准运行，谢谢！

好的，已批准

[XiaoSeS]

@jangrui 辛苦了，接力推进 LDAP 这个 PR 不容易，几个关键修复都很到位 👍 我从外部看了一下 #283 和 #437 的对比，整理一些想法供参考。

相比 #283 已经修好的几处都很关键：

• NamingEnumeration / DirContext 在 finally 里关闭 — 高并发场景下的资源泄露隐患解决了
• 用 ldap:{username}@internal 作 email key 避免重复账号 — 这个思路挺巧
• 测试里 PlatformPrincipal 构造器顺序修正 + ldapProperties.isEnabled() mock 显式化，CI 失败的根因都覆盖到了
• 补的 2 个 LDAP fallback 测试用例守住了核心新逻辑

一些可以再讨论的点：

1. spring-boot-starter-data-ldap 的 AutoConfiguration 副作用

   这个依赖会在启动时尝试初始化 LDAP 连接，即使 SKILLHUB_LDAP_ENABLED=false。application.yml 里加的 management.health.ldap.enabled: false 只关掉了健康检查端点，AutoConfiguration 本身仍会触发。对于不用 LDAP 的存量部署可能产生启动日志噪音或连接错误。

   一个相对小的改法是在 application.yml 里补一行：

   spring:
     ldap:
       urls: ""

   或者把 LdapTemplate 的 Bean 改成按 skillhub.ldap.enabled 条件化创建。完全理解你"最小化变更"的考量，但这个不属于架构重构，更接近修一个隐性 bug。

2. ldap:{username}@internal 这个标识符约定

   解决重复账号的方向是对的，不过这个格式现在是隐式约定，将来读到 email = ldap:xxx@internal 的人会很困惑。能否在 LdapAuthService 里加几行注释说明这是 LDAP 用户的内部唯一键？另外如果 LDAP 里两个不同 OU 下有同 uid 的用户，会撞 key —— 是否考虑用 entryUUID / objectGUID 之类的稳定标识？这个不阻塞合并，作为后续改进点提一下。

3. debug 日志可能泄露 LDAP URL 里的密码

   LdapAuthService.login() 和 LocalAuthService.login() 里都有 log.debug("LDAP URL: {}", ldapProperties.getUrl())。如果运维把 URL 写成 ldap://binduser:password@host 这种形式（不常见但合法），debug 模式下会明文打印。建议要么去掉这行，要么只打印 host 部分。

4. PR 描述与实际内容

   PR 标题是"修复 PR 新增支持LDAP登录https://github.com/iflytek/skillhub/issues/260 #283 的测试问题"，但实际包含了 新增支持LDAP登录https://github.com/iflytek/skillhub/issues/260 #283 的全部业务代码。Maintainer 第一眼看可能会以为只是测试改动，建议在描述里说明"这是基于 新增支持LDAP登录https://github.com/iflytek/skillhub/issues/260 #283 的完整实现，附带 Gemini 指出的修复"，方便后续 review。

关于合并路径建议：

#437 和 #283 是 100% 重叠的，建议 maintainer 考虑直接合并 #437，同时关闭 #283 并在关闭说明里注明"由 #437 替代，感谢 @cw1427 的原始贡献"，保留对原作者的归属感谢。合并前如果能顺手处理一下上面的 #1（AutoConfiguration 启动副作用）和 #3（日志泄露）就更稳了。

不管最终怎么定，你这次的接力工作都很有价值，给 LDAP 功能补上了真实可用的实现 🙌