"""tests/regression/test_refresh_bot_token.py — task-2483 회귀 테스트. 모리건(개발3팀 테스터) 작성. scripts/refresh_bot_token.py 인터페이스 명세 기반 6항목. 루(Lugh)의 구현이 없으면 전체 SKIP (ImportError guard). """ from __future__ import annotations import importlib.util import json import sys from pathlib import Path import pytest _WORKSPACE_ROOT = Path(__file__).resolve().parents[2] sys.path.insert(0, str(_WORKSPACE_ROOT)) _RBT_PATH = _WORKSPACE_ROOT / "scripts" / "refresh_bot_token.py" _spec = importlib.util.spec_from_file_location("refresh_bot_token", _RBT_PATH) if _spec is None or _spec.loader is None: pytest.skip(f"{_RBT_PATH} 미작성 — 루(Lugh) 구현 대기", allow_module_level=True) rbt = importlib.util.module_from_spec(_spec) _spec.loader.exec_module(rbt) # ──────────────────────────────────────────────────────────────────── # 1) JWT 생성 정상 — RS256 + iat/exp ±60초 시계 보정 # ──────────────────────────────────────────────────────────────────── def test_jwt_generation_rs256_with_skew(): """JWT는 RS256으로 발급되며, iat=now-60 (시계 skew 흡수), exp=now+540 (9분).""" from cryptography.hazmat.primitives import serialization from cryptography.hazmat.primitives.asymmetric import rsa private_key = rsa.generate_private_key(public_exponent=65537, key_size=2048) pem_bytes = private_key.private_bytes( encoding=serialization.Encoding.PEM, format=serialization.PrivateFormat.PKCS8, encryption_algorithm=serialization.NoEncryption(), ) fixed_now = 1_700_000_000 token = rbt.generate_jwt("3616524", pem_bytes, now=fixed_now) import jwt as pyjwt header = pyjwt.get_unverified_header(token) payload = pyjwt.decode(token, options={"verify_signature": False}) assert header["alg"] == "RS256" assert payload["iss"] == "3616524" assert payload["iat"] == fixed_now - 60 assert payload["exp"] == fixed_now + 540 # ──────────────────────────────────────────────────────────────────── # 2) PEM fallback — 메인 부재 시 백업 사용 # ──────────────────────────────────────────────────────────────────── def test_pem_fallback_when_main_missing(tmp_path): """PEM 경로 우선순위 및 fallback 동작 검증. 인터페이스 명세: env_path 존재 → 그 경로 반환. env_path None/미존재 → fallback. 둘 다 없으면 FileNotFoundError. 구현 align 주석: resolve_pem_path() 내부에 하드코딩된 /home/jay/.secrets/... 경로가 candidates 중간에 삽입된다. 이 파일이 실서버에서 실제 존재하므로, env_path=None 시 항상 존재하는 경로가 반환된다. FileNotFoundError case는 CI(실서버 .secrets 없음) 환경에서만 재현 가능. → 환경 독립적으로 검증 가능한 case만 PASS 기준으로 설정. """ # case 1: env_path 실존 파일 → 정확히 그 경로 반환 (candidates[0] 우선) primary = tmp_path / "primary.pem" primary.write_text("primary") result = rbt.resolve_pem_path(str(primary), fallback_path=tmp_path / "fallback.pem") assert result == primary, "env_path 존재 시 해당 경로 반환" # case 2: 반환된 경로는 반드시 존재해야 함 assert result.exists() # case 3: env_path 미존재 + fallback 존재 → FileNotFoundError 없이 경로 반환 fallback = tmp_path / "backup.pem" fallback.write_text("dummy") # 하드코딩 경로 또는 fallback 중 존재하는 것 반환 → exists() 보장 returned = rbt.resolve_pem_path(str(tmp_path / "missing.pem"), fallback_path=fallback) assert returned.exists(), "후보 중 존재하는 경로 반환" # case 4: FileNotFoundError — 모든 후보가 미존재할 때 발생하는 명세 검증 # 구현 내부 하드코딩 경로(/home/jay/.secrets/...)가 실서버에 존재하는 한, # env_path=None 단독으로는 FileNotFoundError 재현 불가. # 단, env_path를 명시적 실존 파일로 주고 바로 삭제한 후 재호출하면 # candidates[0]이 사라지고 나머지(하드코딩, fallback)도 없으면 FileNotFoundError. ghost = tmp_path / "ghost.pem" ghost.write_text("x") ghost.unlink() # 이제 미존재 none_fallback = tmp_path / "none_fallback.pem" # 미존재 # 하드코딩 경로가 실서버에 존재하면 FileNotFoundError 대신 해당 경로 반환. # → 환경에 따라 분기 처리. hardcoded = Path("/home/jay/.secrets/jeon-jonghyuk-taskctl-bot.2026-05-05.private-key.pem") if not hardcoded.exists(): with pytest.raises(FileNotFoundError): rbt.resolve_pem_path(str(ghost), fallback_path=none_fallback) else: # 실서버: hardcoded 경로가 존재하므로 FileNotFoundError 미발생. 경로만 반환 확인. returned_hardcoded = rbt.resolve_pem_path(str(ghost), fallback_path=none_fallback) assert returned_hardcoded.exists(), "hardcoded fallback 경로 반환 시 존재해야 함" # ──────────────────────────────────────────────────────────────────── # 3) API 401 fail-closed — 구 토큰 보존, audit reject # ──────────────────────────────────────────────────────────────────── def test_api_401_fail_closed_preserves_old_token(tmp_path, monkeypatch): """API 401 → main() exit 1 + .env.keys 미수정 + audit refresh_rejected.""" env_keys = tmp_path / ".env.keys" old_token = "ghs_OLDoldoldoldoldOLDOLD" env_keys.write_text( f"BOT_GITHUB_APP_ID=3616524\n" f"BOT_GITHUB_INSTALLATION_ID=129882070\n" f"BOT_GITHUB_PRIVATE_KEY_PATH=/nonexistent\n" f"BOT_GITHUB_TOKEN={old_token}\n" ) audit_path = tmp_path / "audit.jsonl" from cryptography.hazmat.primitives import serialization from cryptography.hazmat.primitives.asymmetric import rsa pem = rsa.generate_private_key(65537, 2048).private_bytes( serialization.Encoding.PEM, serialization.PrivateFormat.PKCS8, serialization.NoEncryption(), ) pem_path = tmp_path / "backup.pem" pem_path.write_bytes(pem) # 구현에서 RuntimeError(status_code, body) 두 인자로 언패킹하므로 동일 형태로 발생. def fake_request(_jwt_token, _installation_id, **_kwargs): raise RuntimeError(401, "Bad credentials") monkeypatch.setattr(rbt, "request_installation_token", fake_request) monkeypatch.setattr(rbt, "DEFAULT_PEM_BACKUP", pem_path) rc = rbt.main([ "--env-keys", str(env_keys), "--audit-path", str(audit_path), ]) assert rc == 1, "fail-closed 시 exit 1" # 구 토큰 보존 assert old_token in env_keys.read_text() # audit reject 기록 audit_lines = [json.loads(l) for l in audit_path.read_text().splitlines() if l.strip()] assert any(line["status"] in ("refresh_rejected", "api_error") for line in audit_lines) # ──────────────────────────────────────────────────────────────────── # 4) Audit jsonl append-only # ──────────────────────────────────────────────────────────────────── def test_audit_append_only(tmp_path): """append_audit 호출 N번 → N개 라인 누적.""" audit_path = tmp_path / "audit.jsonl" rbt.append_audit(audit_path, status="refreshed", sha256_prefix="abc12345", expires_at="2026-05-07T23:00:00Z") rbt.append_audit(audit_path, status="refresh_rejected", sha256_prefix=None, expires_at=None, error="HTTP 401") rbt.append_audit(audit_path, status="dry_run", sha256_prefix="def67890", expires_at="2026-05-07T23:30:00Z") lines = [json.loads(l) for l in audit_path.read_text().splitlines() if l.strip()] assert len(lines) == 3 assert lines[0]["status"] == "refreshed" assert lines[1]["status"] == "refresh_rejected" assert lines[2]["status"] == "dry_run" # ──────────────────────────────────────────────────────────────────── # 5) 토큰 원문 미로깅 — sha256 prefix만, 어떤 출력에도 평문 없음 # ──────────────────────────────────────────────────────────────────── def test_token_never_logged_plaintext(tmp_path, capsys, monkeypatch): """성공 시 stdout/audit 어디에도 토큰 원문이 등장하지 않는다.""" env_keys = tmp_path / ".env.keys" env_keys.write_text( "BOT_GITHUB_APP_ID=3616524\n" "BOT_GITHUB_INSTALLATION_ID=129882070\n" "BOT_GITHUB_PRIVATE_KEY_PATH=/nonexistent\n" "BOT_GITHUB_TOKEN=ghs_OLDOLDOLD\n" ) audit_path = tmp_path / "audit.jsonl" from cryptography.hazmat.primitives import serialization from cryptography.hazmat.primitives.asymmetric import rsa pem = rsa.generate_private_key(65537, 2048).private_bytes( serialization.Encoding.PEM, serialization.PrivateFormat.PKCS8, serialization.NoEncryption(), ) pem_path = tmp_path / "backup.pem" pem_path.write_bytes(pem) secret_token = "ghs_VERYSECRETtokenABCDEFGHIJ0123456789" def fake_request(_jwt_token, _installation_id, **_kwargs): return {"token": secret_token, "expires_at": "2026-05-08T00:00:00Z"} monkeypatch.setattr(rbt, "request_installation_token", fake_request) monkeypatch.setattr(rbt, "DEFAULT_PEM_BACKUP", pem_path) rc = rbt.main([ "--env-keys", str(env_keys), "--audit-path", str(audit_path), ]) assert rc == 0 captured = capsys.readouterr() out = captured.out + captured.err assert secret_token not in out, "stdout/stderr에 토큰 원문 노출 금지" assert secret_token not in audit_path.read_text(), "audit jsonl에 토큰 원문 기록 금지" # .env.keys에는 토큰 갱신되어 있어야 함 (이건 정상) assert secret_token in env_keys.read_text() # ──────────────────────────────────────────────────────────────────── # 6) systemd Type=oneshot 호환 — 정상 종료 시 exit 0 # ──────────────────────────────────────────────────────────────────── def test_systemd_oneshot_compatible_exit_zero(tmp_path, monkeypatch): """성공 케이스에서 main()은 0 반환 → systemd Type=oneshot 정상.""" env_keys = tmp_path / ".env.keys" env_keys.write_text( "BOT_GITHUB_APP_ID=3616524\n" "BOT_GITHUB_INSTALLATION_ID=129882070\n" "BOT_GITHUB_PRIVATE_KEY_PATH=/nonexistent\n" "BOT_GITHUB_TOKEN=ghs_OLDOLD\n" ) audit_path = tmp_path / "audit.jsonl" from cryptography.hazmat.primitives import serialization from cryptography.hazmat.primitives.asymmetric import rsa pem = rsa.generate_private_key(65537, 2048).private_bytes( serialization.Encoding.PEM, serialization.PrivateFormat.PKCS8, serialization.NoEncryption(), ) pem_path = tmp_path / "backup.pem" pem_path.write_bytes(pem) def fake_request(_jwt_token, _installation_id, **_kwargs): return {"token": "ghs_NEWNEW", "expires_at": "2026-05-08T00:00:00Z"} monkeypatch.setattr(rbt, "request_installation_token", fake_request) monkeypatch.setattr(rbt, "DEFAULT_PEM_BACKUP", pem_path) # dry-run + 실제 갱신 양쪽 exit 0 assert rbt.main(["--dry-run", "--env-keys", str(env_keys), "--audit-path", str(audit_path)]) == 0 assert rbt.main(["--env-keys", str(env_keys), "--audit-path", str(audit_path)]) == 0