最近我给 FlashRisk 项目加了一个看起来很高级的东西Testcontainers 端到端测试。理想很丰满一条命令启动 MySQL、Redis、Kafka再拉起所有微服务最后模拟注册、登录、库存预热、下单、风控、结算。现实很直接GitHub Actions你先别急着高级我先让你看看什么叫红色感叹号。一、事故现场GitHub 上 CI 挂了FlashRisk CI / Maven Verify (push) Failing失败点在Run unit and integration tests mvn -B verify -DskipITsfalse本地看起来没啥问题但 GitHub Actions 一跑完整 E2E直接翻车。这就是 E2E 测试的魅力单元测试像体检抽血E2E 测试像让你跑 1000 米。问题藏不住。二、第一个错误MySQL 初始化权限不够日志核心报错Access denied for user flashrisk% to database campaign_db当时的 E2E MySQL 配置大概是这样privatestaticfinalMySQLContainer?MYSQLnewMySQLContainer(DockerImageName.parse(mysql:8.0)).withDatabaseName(user_db).withUsername(flashrisk).withPassword(flashrisk_dev_password).withInitScript(e2e/mysql-init.sql);问题就在withInitScript()。它会通过 JDBC 执行初始化 SQL而这个 JDBC 连接使用的是我们配置的业务用户flashrisk但初始化 SQL 里要做这些事情CREATEDATABASEIFNOTEXISTScampaign_db;CREATEDATABASEIFNOTEXISTSorder_db;CREATEDATABASEIFNOTEXISTSrisk_db;GRANTALLPRIVILEGES...这就很尴尬了。业务用户flashrisk的权限定位是好好读写业务库别想着当 DBA。结果我们让它去创建数据库、授权用户。这就像让实习生第一天上班就去改公司组织架构系统当然说你不配。三、第一个修复让 MySQL root 初始化脚本正确做法是不要用withInitScript()执行多库初始化脚本而是把 SQL 文件挂到 MySQL 官方镜像的初始化目录/docker-entrypoint-initdb.d/修复后代码privatestaticfinalMySQLContainer?MYSQLnewMySQLContainer(DockerImageName.parse(mysql:8.0)).withDatabaseName(user_db).withUsername(DB_USER).withPassword(DB_PASSWORD).withCopyFileToContainer(MountableFile.forClasspathResource(e2e/mysql-init.sql),/docker-entrypoint-initdb.d/001-init-flashrisk.sql);这样 SQL 会在 MySQL 容器初始化阶段执行由镜像内部用 root 权限处理。一句话总结withInitScript()适合普通建表/docker-entrypoint-initdb.d/更适合创建数据库、创建用户、授权这种“管理员活儿”。四、第二个错误Gateway JWT issuer 翻车第一个问题修完后CI 往下跑终于进入业务链路。然后又挂了。请求POST /api/campaigns/1/inventory/preheat返回500 Internal Server Error注意注册、登录都成功了。说明 JWT 生成没问题问题出在带 Token 访问受保护接口时。Gateway 里原来的代码是headers.set(AUTH_ISSUER_HEADER,jwt.getIssuer().toString());看起来优雅实际上暗藏小坑。我们的 issuer 是flashrisk-user-service它是一个普通字符串不是 URL。而 Spring Security 的jwt.getIssuer()更偏向把iss当成 URL/URI 语义处理。普通字符串可能拿不到有效 issuer结果这里一.toString()直接空指针。这个错误很有节目效果JWT 明明带了iss但是你非要它长得像 URL。它只是个服务名不是网址。你不能要求每个人上班都穿西装。五、第二个修复直接读取原始issclaim修复前headers.set(AUTH_ISSUER_HEADER,jwt.getIssuer().toString());修复后Stringissuerjwt.getClaimAsString(iss);if(issuer!null!issuer.isBlank()){headers.set(AUTH_ISSUER_HEADER,issuer);}这样就不会强行把 issuer 当 URL 解析了。同时补了一个单元测试专门验证这种普通字符串 issuerMap.of(iss,flashrisk-user-service,sub,1001,username,alice)测试目标很明确issuer 不像 URL也不准 Gateway 原地爆炸。六、最终结果修复后重新推送fix: initialize e2e mysql schemas as root fix: relay jwt issuer claim safely本地验证mvn-q-plgateway-service-amtestmvn-qtestGitHub Actions 最新结果FlashRisk CI / Maven Verify passed这次 CI 从红变绿说明完整链路已经能在 GitHub runner 上跑通。七、这次事故的经验第一Testcontainers 的withInitScript()不一定适合做数据库级初始化。如果涉及CREATE DATABASE、CREATE USER、GRANT优先考虑 MySQL 官方初始化目录。第二JWT 的iss不一定非得是 URL。如果业务里 issuer 是服务名例如flashrisk-user-service那就直接用jwt.getClaimAsString(iss)别强行用getIssuer()。第三E2E 测试很烦但很有用。它不会夸你架构优雅它只会问你这一整套东西真能跑起来吗这次它问了。然后我们修了。最后 CI 绿了。技术人的快乐有时候就是这么朴素。