Postman 授權(quán)請(qǐng)求

2023-04-03 10:49 更新

API 使用授權(quán)來確保客戶端請(qǐng)求安全地訪問數(shù)據(jù)。這可能涉及對(duì)請(qǐng)求的發(fā)送者進(jìn)行身份驗(yàn)證,并確認(rèn)他們有權(quán)訪問或操作相關(guān)數(shù)據(jù)。如果您正在構(gòu)建 API,則可以從多種身份驗(yàn)證模型中進(jìn)行選擇。如果您要集成第三方 API,所需的授權(quán)將由 API 提供商指定。

您可以將身份驗(yàn)證詳細(xì)信息與您在 Postman 中發(fā)送的任何請(qǐng)求一起傳遞。授權(quán)數(shù)據(jù)可以包含在標(biāo)頭、正文中,或作為請(qǐng)求的參數(shù)。如果您在“授權(quán)”選項(xiàng)卡中輸入您的身份驗(yàn)證詳細(xì)信息,Postman 將自動(dòng)為您選擇的身份驗(yàn)證類型填充請(qǐng)求的相關(guān)部分。您可以使用變量和集合來更安全有效地定義授權(quán)細(xì)節(jié),使您能夠在多個(gè)地方重復(fù)使用相同的信息。

指定授權(quán)詳細(xì)信息

在 Postman 中打開請(qǐng)求后,使用“授權(quán)”選項(xiàng)卡選擇身份驗(yàn)證類型,然后完成所選類型的相關(guān)詳細(xì)信息。正確的數(shù)據(jù)值將由服務(wù)器端的 API 確定。如果您使用的是第三方 API,請(qǐng)參閱提供商的文檔以了解任何所需的身份驗(yàn)證詳細(xì)信息。

授權(quán)標(biāo)簽

您可以將這些身份驗(yàn)證類型與 Newman 和監(jiān)視器以及 Postman 一起使用。

當(dāng)您從“類型”下拉列表中選擇一種類型時(shí),Postman 將指示您的詳細(xì)信息將包含在請(qǐng)求的哪些部分中,例如標(biāo)頭、正文、URL 或查詢參數(shù)。當(dāng)您選擇或輸入它們時(shí),Postman 會(huì)將您的身份驗(yàn)證詳細(xì)信息添加到請(qǐng)求的相關(guān)部分,因此您可以在運(yùn)行請(qǐng)求之前預(yù)覽數(shù)據(jù)的發(fā)送方式。

您的授權(quán)數(shù)據(jù)將出現(xiàn)在請(qǐng)求的相關(guān)部分,例如標(biāo)題選項(xiàng)卡中。要顯示自動(dòng)添加的標(biāo)題,請(qǐng)選擇hidden。

隱藏標(biāo)題

將鼠標(biāo)懸停在標(biāo)題上以獲取有關(guān)添加位置的信息。要更改授權(quán)標(biāo)頭,請(qǐng)返回授權(quán)選項(xiàng)卡并更新您的配置。

您不能直接在“標(biāo)頭”選項(xiàng)卡中覆蓋由您的授權(quán)選擇添加的標(biāo)頭。如果您需要與 Postman 自動(dòng)生成的不同的身份驗(yàn)證標(biāo)頭,請(qǐng)更改Authorization中的設(shè)置,或刪除您的身份驗(yàn)證設(shè)置并手動(dòng)添加標(biāo)頭。

您的請(qǐng)求授權(quán)可以使用環(huán)境、集合和全局變量。Postman 不保存標(biāo)頭數(shù)據(jù)或查詢參數(shù),以避免暴露 API 密鑰等敏感數(shù)據(jù)。

發(fā)送后,您可以在 Postman 控制臺(tái)中檢查整個(gè)請(qǐng)求的原始轉(zhuǎn)儲(chǔ),包括身份驗(yàn)證數(shù)據(jù)。

繼承授權(quán)

如果您將請(qǐng)求分組到集合和文件夾中,則可以指定要在整個(gè)組中重復(fù)使用的身份驗(yàn)證詳細(xì)信息。

默認(rèn)情況下,集合或文件夾內(nèi)的請(qǐng)求將從父級(jí)繼承身份驗(yàn)證,這意味著它們將使用您在文件夾或集合級(jí)別指定的相同身份驗(yàn)證。要為單個(gè)請(qǐng)求更改此設(shè)置,請(qǐng)?jiān)谡?qǐng)求授權(quán)選項(xiàng)卡中進(jìn)行不同的選擇。

授權(quán)類型

從授權(quán)選項(xiàng)卡上的類型下拉列表中選擇一種類型。您可以為請(qǐng)求、集合或文件夾選擇授權(quán)類型。

無授權(quán)

除非您指定身份驗(yàn)證類型,否則 Postman 不會(huì)隨請(qǐng)求發(fā)送授權(quán)詳細(xì)信息。如果您的請(qǐng)求不需要授權(quán),請(qǐng)從授權(quán)選項(xiàng)卡類型下拉列表中選擇無授權(quán)。

API密鑰

使用 API 密鑰身份驗(yàn)證,您可以在請(qǐng)求標(biāo)頭或查詢參數(shù)中向 API 發(fā)送鍵值對(duì)。在請(qǐng)求授權(quán)選項(xiàng)卡中,從類型列表中選擇API 密鑰。輸入您的鍵名和值,然后從“添加到”下拉列表中選擇“標(biāo)頭”或“查詢參數(shù)”。您可以將您的值存儲(chǔ)在變量中以獲得額外的安全性。

API 密鑰授權(quán)

Postman 會(huì)將相關(guān)信息附加到您的請(qǐng)求Headers或 URL 查詢字符串中。

不記名令牌

不記名令牌使請(qǐng)求能夠使用訪問密鑰進(jìn)行身份驗(yàn)證,例如 JSON Web 令牌 (JWT)。令牌是一個(gè)文本字符串,包含在請(qǐng)求標(biāo)頭中。在請(qǐng)求授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇Bearer Token。在令牌字段中,輸入您的 API 密鑰值。為了增加安全性,將其存儲(chǔ)在一個(gè)變量中并按名稱引用該變量。

Postman 會(huì)將令牌值Bearer以要求的格式附加到請(qǐng)求授權(quán)標(biāo)頭的文本中,如下所示:

Bearer <Your API key>
如果需要自定義前綴,請(qǐng)使用密鑰為Authorization的API 密鑰。

JWT 承載

Postman 還支持生成 JWT 承載令牌來授權(quán)請(qǐng)求??。您可以在編輯器中輸入負(fù)載,然后生成 JWT 令牌并將其添加到請(qǐng)求中。在請(qǐng)求授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇JWT Bearer。

  • 將 JWT 令牌添加到- 選擇請(qǐng)求標(biāo)頭或查詢參數(shù)以指定將 JWT 令牌添加到您的請(qǐng)求的方式。
  • 算法- 選擇用于 JWT 令牌的算法。支持的算法包括:HS - 帶 SHA 的 HMACRS - 帶 SHA 的 RSA (RSASSA-PKCS1-v1_5)ES - 帶 SHA 的 ECDSAPS - 帶 SHA 的 RSA (RSASSA-PSS)
  • 秘密- 與 HMAC-SHA 算法一起使用的秘密。
  • 秘密 Base64 編碼- 如果秘密以 base-64 格式編碼。
  • 私鑰- 用于為 RS、ES 和 PS 算法簽署令牌的私鑰。選擇選擇文件以上傳 PKCS #8 格式的私鑰。
  • 負(fù)載- 以 JSON 格式輸入 JWT 令牌的負(fù)載數(shù)據(jù)。

在高級(jí)配置部分,您還可以配置以下項(xiàng)目。如果您不配置它們,它們會(huì)自動(dòng)生成。

  • 標(biāo)頭前綴- 在標(biāo)頭開頭使用的可選前綴。此標(biāo)頭前綴是請(qǐng)求的一部分,而不是 JWT 的一部分。
  • 標(biāo)頭- 您還希望在 JWT 令牌中發(fā)送的任何自定義標(biāo)頭。與所選算法相關(guān)的標(biāo)頭會(huì)自動(dòng)添加。

基本授權(quán)

基本身份驗(yàn)證涉及在您的請(qǐng)求中發(fā)送經(jīng)過驗(yàn)證的用戶名和密碼。在請(qǐng)求授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇基本身份驗(yàn)證。

在用戶名和密碼字段中輸入您的 API 用戶名和密碼。為了額外的安全性,將它們存儲(chǔ)在變量中。

在請(qǐng)求標(biāo)頭中,授權(quán)標(biāo)頭向 API 傳遞一個(gè) Base64 編碼的字符串,表示您的用戶名和密碼值,附加到文本中,Basic如下所示:

Basic <Base64 encoded username and password>

摘要認(rèn)證

使用 Digest auth,客戶端向 API 發(fā)送第一個(gè)請(qǐng)求,服務(wù)器以一些詳細(xì)信息作為響應(yīng),包括只能使用一次的數(shù)字(隨機(jī)數(shù))、領(lǐng)域值和401未經(jīng)授權(quán)的響應(yīng)。然后,您發(fā)送回一個(gè)加密的數(shù)據(jù)數(shù)組,其中包括用戶名和密碼,以及在第一個(gè)請(qǐng)求中從服務(wù)器接收到的數(shù)據(jù)。服務(wù)器使用傳遞的數(shù)據(jù)生成加密字符串并將其與您發(fā)送的內(nèi)容進(jìn)行比較以驗(yàn)證您的請(qǐng)求。

在請(qǐng)求的Authorization選項(xiàng)卡中,從Type下拉列表中選擇Digest Auth。Postman 將為身份驗(yàn)證請(qǐng)求的兩個(gè)階段提供字段。它將使用第一個(gè)請(qǐng)求從服務(wù)器返回的數(shù)據(jù)自動(dòng)完成高級(jí)部分中第二個(gè)請(qǐng)求的字段。要使 Postman 能夠自動(dòng)執(zhí)行流程,請(qǐng)輸入用戶名和密碼值(或變量),這些值將與第二個(gè)請(qǐng)求一起發(fā)送。

如果您不希望 Postman 自動(dòng)提取數(shù)據(jù),請(qǐng)?jiān)谧髠?cè)欄中選擇是,禁用重試請(qǐng)求。如果這樣做,您將需要完成高級(jí)字段并手動(dòng)運(yùn)行每個(gè)請(qǐng)求。

在高級(jí)部分中設(shè)置字段是可選的。當(dāng)您的第一個(gè)請(qǐng)求運(yùn)行時(shí),Postman 會(huì)自動(dòng)填充它們。

  • Realm - 服務(wù)器在WWW-Authenticate響應(yīng)標(biāo)頭中指定的字符串。
  • Nonce - 服務(wù)器在WWW-Authenticate響應(yīng)標(biāo)頭中指定的唯一字符串。
  • 算法- 一個(gè)字符串,指示用于生成摘要和校驗(yàn)和的一對(duì)算法。郵遞員支持MD5和SHA算法。
  • qop - 應(yīng)用于消息的保護(hù)質(zhì)量。該值必須是服務(wù)器在WWW-Authenticate響應(yīng)標(biāo)頭中指定的選項(xiàng)之一。
  • Nonce Count - 客戶端使用此請(qǐng)求中的 nonce 值發(fā)送的請(qǐng)求數(shù)(包括當(dāng)前請(qǐng)求)的十六進(jìn)制計(jì)數(shù)。
  • Client Nonce - 客戶端提供的不透明引用字符串值,客戶端和服務(wù)器都使用它來避免選擇的明文攻擊,提供相互身份驗(yàn)證,并提供一些消息完整性保護(hù)。
  • 不透明- 由服務(wù)器在響應(yīng)標(biāo)頭中指定的一串?dāng)?shù)據(jù)WWW-Authenticate,將與同一保護(hù)空間中的 URI 一起使用。

OAuth 1.0

OAuth 1.0 使客戶端應(yīng)用程序能夠訪問第三方 API 提供的數(shù)據(jù)。例如,作為服務(wù)的用戶,您可以授予另一個(gè)應(yīng)用程序訪問您使用該服務(wù)的數(shù)據(jù)的權(quán)限,而無需暴露您的用戶名和密碼等詳細(xì)信息。使用 OAuth 1.0 訪問用戶數(shù)據(jù)涉及客戶端應(yīng)用程序、用戶和服務(wù)提供商之間的一些來回請(qǐng)求。

OAuth 1.0 有時(shí)被稱為“兩條腿”(僅在客戶端和服務(wù)器之間進(jìn)行身份驗(yàn)證)或“三條腿”(客戶端為第三方服務(wù)的用戶請(qǐng)求數(shù)據(jù))。示例 OAuth 1.0 流程可以按如下方式運(yùn)行:

  • 要使用第三方服務(wù)請(qǐng)求用戶數(shù)據(jù),消費(fèi)者(客戶端應(yīng)用程序)使用密鑰和秘密等憑據(jù)請(qǐng)求訪問令牌。
  • 服務(wù)提供者發(fā)出初始令牌(不提供對(duì)用戶數(shù)據(jù)的訪問),消費(fèi)者請(qǐng)求用戶授權(quán)。
  • 當(dāng)用戶授予身份驗(yàn)證時(shí),消費(fèi)者發(fā)出請(qǐng)求以將臨時(shí)令牌交換為訪問令牌,從而通過用戶身份驗(yàn)證的驗(yàn)證。
  • 服務(wù)提供者返回訪問令牌,然后消費(fèi)者可以向服務(wù)提供者請(qǐng)求訪問用戶的數(shù)據(jù)。
Postman 支持OAuth Core 1.0 Revision A。

要使用 OAuth 1.0,請(qǐng)執(zhí)行以下操作:

  1. 在請(qǐng)求的授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇OAuth 1.0 。
  2. 從下拉列表中選擇簽名方法。這將決定哪些參數(shù)包含在您的請(qǐng)求中。Postman 支持HMAC-SHA1, HMAC-SHA256, HMAC-SHA512, RSA-SHA1, RSA-SHA256,RSA-SHA512和PLAINTEXT。如果您的服務(wù)器需要HMACorPLAINTEXT簽名,Postman 將提供Consumer Key、Consumer Secret、Access Token和Token Secret字段。如果您使用RSA簽名,Postman 將提供Consumer Key、Access Token和Private Key輸入。
  3. 您可以選擇設(shè)置高級(jí)詳細(xì)信息——否則 Postman 將嘗試自動(dòng)完成這些。
  4. 您可以在請(qǐng)求標(biāo)頭或正文/URL 中包含身份驗(yàn)證詳細(xì)信息。從“將授權(quán)添加到”下拉列表中選擇一項(xiàng)。如果您想檢查詳細(xì)信息將如何包含在請(qǐng)求中,請(qǐng)打開“標(biāo)題”或“正文”選項(xiàng)卡。

如果您在標(biāo)頭中發(fā)送 OAuth 1.0 數(shù)據(jù),發(fā)送您的密鑰和秘密值的授權(quán)標(biāo)頭將附加到字符串以及OAuth其他以逗號(hào)分隔的必需詳細(xì)信息。

當(dāng)您完成授權(quán)設(shè)置中的所有必填字段后,Postman 會(huì)將 OAuth 1.0 信息附加到請(qǐng)求標(biāo)頭。

如果您在正文和 URL 中發(fā)送 OAuth 1.0 數(shù)據(jù),則數(shù)據(jù)將添加到請(qǐng)求正文或參數(shù)中,具體取決于請(qǐng)求方法。

如果請(qǐng)求方法是POST或PUT,并且請(qǐng)求正文類型是x-www-form-urlencoded,Postman 將在請(qǐng)求正文中添加授權(quán)參數(shù)。否則,例如在GET請(qǐng)求中,您的密鑰和機(jī)密數(shù)據(jù)將在 URL 查詢參數(shù)中傳遞。

OAuth 1.0 auth 參數(shù)值如下:

  • 簽名方法- 您的 API 用于驗(yàn)證請(qǐng)求的方法。
  • Consumer Key - 用于向服務(wù)提供者標(biāo)識(shí)消費(fèi)者的值。
  • 消費(fèi)者秘密- 消費(fèi)者用來建立密鑰所有權(quán)的值。(對(duì)于HMAC和PLAINTEXT簽名方法。)
  • 訪問令牌- 代表消費(fèi)者訪問用戶數(shù)據(jù)的權(quán)限的值。
  • Token Secret - 消費(fèi)者用來建立給定令牌所有權(quán)的值。(對(duì)于HMAC和PLAINTEXT簽名方法。)
  • 私鑰- 用于生成身份驗(yàn)證簽名的私鑰。(對(duì)于RSA簽名方法。)
  • 高級(jí)參數(shù):回調(diào) URL - URL 服務(wù)提供商將重定向到以下用戶授權(quán)。(如果您的服務(wù)器使用 OAuth 1.0 修訂版 A,則為必需。)Verifier - 用戶授權(quán)后來自服務(wù)提供商的驗(yàn)證碼。時(shí)間戳- 服務(wù)器用來防止時(shí)間窗口外的重播攻擊的時(shí)間戳。Nonce - 客戶端生成的隨機(jī)字符串。版本- OAuth 身份驗(yàn)證協(xié)議的版本 (1.0)。Realm - 服務(wù)器在WWW-Authenticate響應(yīng)標(biāo)頭中指定的字符串。包括主體散列-用于與 . 以外的 請(qǐng)求主體進(jìn)行完整性檢查的散列application/x-www-form-urlencoded。(當(dāng)您使用回調(diào) URL / 驗(yàn)證器時(shí)停用。)
如果您的 OAuth 1.0 服務(wù)器實(shí)現(xiàn)需要它,請(qǐng)選擇Add empty parameters to signature。您還可以選中復(fù)選框以對(duì)請(qǐng)求的授權(quán)標(biāo)頭中的參數(shù)進(jìn)行編碼。

OAuth 2.0

使用 OAuth 2.0,您首先檢索 API 的訪問令牌,然后使用該令牌對(duì)未來的請(qǐng)求進(jìn)行身份驗(yàn)證。使用 OAuth 2.0 訪問數(shù)據(jù)在 API 服務(wù)提供商之間差異很大,但通常涉及客戶端應(yīng)用程序、用戶和 API 之間的一些來回請(qǐng)求。

示例 OAuth 2.0 流程可以按如下方式運(yùn)行:

  • 客戶端應(yīng)用程序請(qǐng)求用戶授權(quán)訪問他們的數(shù)據(jù)。
  • 如果用戶授予訪問權(quán)限,則應(yīng)用程序會(huì)向服務(wù)提供商請(qǐng)求訪問令牌,傳遞來自用戶的訪問權(quán)限和身份驗(yàn)證詳細(xì)信息以識(shí)別客戶端。
  • 服務(wù)提供商驗(yàn)證這些詳細(xì)信息并返回訪問令牌。
  • 客戶端使用訪問令牌向服務(wù)提供商請(qǐng)求用戶數(shù)據(jù)。

要使用 OAuth 2.0,請(qǐng)執(zhí)行以下操作:

  1. 在請(qǐng)求的授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇OAuth 2.0 。指定是否要在請(qǐng)求 URL 或標(biāo)頭中傳遞身份驗(yàn)證詳細(xì)信息。默認(rèn)情況下,Postman 會(huì)將訪問令牌附加到Bearer您請(qǐng)求的授權(quán)標(biāo)頭中,但如果您的服務(wù)器實(shí)現(xiàn)需要不同的前綴,您可以在標(biāo)頭前綴字段中指定它。
  2. 要請(qǐng)求訪問令牌,請(qǐng)?zhí)顚慍onfigure New Token部分中的字段,然后選擇Get New Access Token。您可以保存令牌和詳細(xì)信息以生成帶有您的請(qǐng)求或集合的令牌。生成并添加令牌值后,它將出現(xiàn)在請(qǐng)求標(biāo)頭中。
  3. 輸入您的客戶端應(yīng)用程序的詳細(xì)信息,以及來自服務(wù)提供商的任何身份驗(yàn)證詳細(xì)信息。這允許您在 Postman 中復(fù)制您的應(yīng)用程序身份驗(yàn)證流程以測(cè)試經(jīng)過身份驗(yàn)證的請(qǐng)求。同步圖標(biāo) 您可以通過選擇可用令牌旁邊的同步令牌圖標(biāo)與您的團(tuán)隊(duì)共享令牌憑據(jù) 。默認(rèn)情況下,Postman 不會(huì)同步您的令牌,以防您不想共享它。
  4. Postman 將根據(jù) OAuth 2.0授權(quán)類型提示您提供特定詳細(xì)信息,可以是Authorization code、ImplicitPassword credentialsClient credentials。

授權(quán)碼

授權(quán)代碼授予類型要求用戶向提供者進(jìn)行身份驗(yàn)證——然后將授權(quán)代碼發(fā)送回客戶端應(yīng)用程序,提取并與提供者交換訪問令牌以驗(yàn)證以后的請(qǐng)求。

要使用授權(quán)代碼授予類型,請(qǐng)輸入客戶端應(yīng)用程序的回調(diào) URL(需要向 API 提供商注冊(cè)),以及 API 服務(wù)提供的各種詳細(xì)信息,包括Auth URL、Access Token URL、Client ID和Client Secret .

如果愿意,您可以在 Web 瀏覽器而不是 Postman 中輸入您的授權(quán)詳細(xì)信息,方法是選擇Authorize using browser。

授權(quán)碼(帶 PKCE)

您可以將 PKCE(用于代碼交換的證明密鑰)與 OAuth 2.0 一起使用。當(dāng)您選擇Authorization Code (With PKCE)時(shí),另外兩個(gè)字段將可用于Code Challenge Method和Code Verifier。您可以選擇使用SHA-256或Plain算法來生成代碼挑戰(zhàn)。驗(yàn)證器是一個(gè)可選的 43-128 字符的字符串,用于將授權(quán)請(qǐng)求連接到令牌請(qǐng)求。

建議使用授權(quán)碼(使用 PKCE)授權(quán)類型與使用瀏覽器進(jìn)行授權(quán)相結(jié)合,以防止授權(quán)碼攔截攻擊。

隱含的

隱式授權(quán)類型向客戶端返回一個(gè)訪問令牌,而不需要額外的授權(quán)代碼步驟(因此安全性較低)。

要在 Postman 中對(duì)您的請(qǐng)求使用隱式授權(quán)類型,請(qǐng)輸入您已向 API 提供商注冊(cè)的回調(diào) URL 、提供商Auth URL以及您已注冊(cè)的應(yīng)用程序的客戶端 ID 。

如果愿意,您可以在 Web 瀏覽器而不是 Postman 中輸入您的授權(quán)詳細(xì)信息,方法是選擇Authorize using browser。

密碼憑據(jù)

OAuth 2.0 密碼授予類型涉及直接從客戶端發(fā)送用戶名和密碼,因此如果您正在處理第三方數(shù)據(jù),則不推薦使用。

要使用密碼授予類型,請(qǐng)輸入您的 API 提供商的訪問令牌 URL以及用戶名和密碼。在某些情況下,您還需要提供客戶端 ID 和密碼。

客戶端憑據(jù)

客戶端憑據(jù)授權(quán)類型通常不用于訪問用戶數(shù)據(jù),而是用于與客戶端應(yīng)用程序關(guān)聯(lián)的數(shù)據(jù)。

輸入提供商的Access Token URL,以及您注冊(cè)的應(yīng)用程序的Client ID和Client Secret。

請(qǐng)求 OAuth 2.0 令牌

請(qǐng)求新訪問令牌的完整參數(shù)列表如下,具體取決于您的授權(quán)類型。

在配置選項(xiàng)選項(xiàng)卡上:

  • 令牌名稱- 您要用于令牌的名稱。
  • 授權(quán)類型- 選項(xiàng)的下拉列表。這將取決于 API 服務(wù)提供商的要求。
  • 回調(diào) URL - 驗(yàn)證后重定向到的客戶端應(yīng)用程序回調(diào) URL。這必須向 API 提供商注冊(cè)。如果未提供,Postman 將使用默認(rèn)的空 URL 并嘗試從中提取代碼或訪問令牌。如果這對(duì)您的 API 不起作用,您可以使用以下 URL:https://oauth.pstmn.io/v1/browser-callback使用瀏覽器授權(quán)- 您可以在 Web 瀏覽器中輸入您的憑據(jù),而不是在使用授權(quán)代碼或隱式授權(quán)類型時(shí)默認(rèn)出現(xiàn)在 Postman 中的彈出窗口。選中此復(fù)選框以設(shè)置回調(diào) URL以返回到 Postman。如果您選擇使用瀏覽器授權(quán),請(qǐng)確?;卣{(diào) URL 的彈出窗口已停用,否則將無法使用。
  • Auth URL - API 提供者授權(quán)服務(wù)器的端點(diǎn),用于檢索授權(quán)代碼。
  • 訪問令牌 URL - 提供商的身份驗(yàn)證服務(wù)器,用于交換訪問令牌的授權(quán)代碼。
  • 客戶端 ID - 在 API 提供商處注冊(cè)的客戶端應(yīng)用程序的 ID。
  • 客戶端密碼- API 提供者提供給您的客戶端密碼。
  • 范圍- 您請(qǐng)求的訪問范圍,可能包括多個(gè)以空格分隔的值。
  • State - 防止跨站點(diǎn)請(qǐng)求偽造的不透明值。
  • 客戶端身份驗(yàn)證- 在標(biāo)頭中發(fā)送基本身份驗(yàn)證請(qǐng)求,或在請(qǐng)求正文中發(fā)送客戶端憑據(jù)。升級(jí)到新版本后,更改此處的值以避免客戶端身份驗(yàn)證出現(xiàn)問題。

在高級(jí)選項(xiàng)選項(xiàng)卡上:

  • 資源- 指示要使用令牌的資源或目標(biāo)服務(wù)的 URI。
  • 受眾- 一個(gè) URI,指示目標(biāo)受眾或服務(wù)將在其中使用令牌。

配置完成后,選擇Get New Access Token。

當(dāng)您使用授權(quán)代碼或隱式授權(quán)類型時(shí),系統(tǒng)將提示您提供憑據(jù)以檢索訪問令牌以在以后的請(qǐng)求中使用。默認(rèn)情況下,當(dāng)您選擇Request Token時(shí),Postman 將顯示一個(gè)彈出式瀏覽器。您可以改為選擇使用系統(tǒng)的默認(rèn) Web 瀏覽器進(jìn)行身份驗(yàn)證。選擇使用瀏覽器授權(quán),當(dāng)您在瀏覽器中完成身份驗(yàn)證時(shí),回調(diào) URL 將自動(dòng)填充以返回給 Postman,以便您的請(qǐng)求可以使用身份驗(yàn)證成功后返回的令牌。

來自 API 的令牌包括其詳細(xì)信息、到期時(shí)間和可選的刷新令牌,您可以在當(dāng)前令牌到期時(shí)使用它來檢索新的訪問令牌。選擇使用令牌以選擇返回值。

任何成功檢索到的令牌都將列在請(qǐng)求可用令牌下拉列表中。選擇一個(gè)與您的請(qǐng)求一起發(fā)送。在下拉列表中選擇管理令牌以查看更多詳細(xì)信息或刪除您的令牌。

如果身份驗(yàn)證失敗或超時(shí),Postman 將顯示一條錯(cuò)誤消息。您可以在控制臺(tái)中檢查錯(cuò)誤詳細(xì)信息,重試以再次嘗試身份驗(yàn)證,或者在繼續(xù)之前編輯您的身份驗(yàn)證詳細(xì)信息。

在 Postman 中刪除令牌不會(huì)撤銷訪問權(quán)限。只有頒發(fā)令牌的服務(wù)器才能撤銷它。

刷新 OAuth 2.0 令牌

在 Postman 中生成的 OAuth 2.0 令牌過期之前,Postman 會(huì)在您發(fā)送使用它的請(qǐng)求之前自動(dòng)在后臺(tái)刷新它。刷新的訪問令牌在使用它的任何請(qǐng)求中更新。自動(dòng)刷新是默認(rèn)行為。

要關(guān)閉或打開此功能,請(qǐng)選擇自動(dòng)刷新訪問令牌。要手動(dòng)刷新令牌,請(qǐng)選擇Refresh。如果令牌在第二天到期,則會(huì)顯示令牌的到期時(shí)間。

存在刷新令牌時(shí)可以使用自動(dòng)刷新。如果不存在刷新令牌,則自動(dòng)刷新訪問令牌切換和手動(dòng)刷新選項(xiàng)不可用。要檢查是否存在刷新令牌,請(qǐng)?jiān)诹钆葡吕斜碇羞x擇管理令牌。如果不存在刷新令牌,請(qǐng)檢查授權(quán)服務(wù)。沒有刷新令牌,郵遞員無法刷新訪問令牌。

自動(dòng)刷新 OAuth 2.0 訪問令牌

您可以在手動(dòng)發(fā)送請(qǐng)求時(shí)使用自動(dòng)刷新。自動(dòng)刷新不用于同一集合的計(jì)劃運(yùn)行或監(jiān)視器。

共享 OAuth 2.0 訪問令牌

要使其他 Postman 用戶能夠查看和使用 OAuth 2.0 訪問令牌,請(qǐng)選擇共享訪問令牌。

共享 OAuth 2.0 訪問令牌

要撤銷其他用戶對(duì)同步令牌的訪問權(quán)限,請(qǐng)執(zhí)行以下操作:

  1. 關(guān)閉共享訪問令牌。
  2. 選擇刪除同步令牌。

在您撤銷訪問權(quán)限后,有權(quán)訪問該請(qǐng)求的其他用戶將無法查看或使用該令牌。

更改 OAuth 2.0 令牌類型

Postman 支持使用訪問令牌或 ID 令牌進(jìn)行 OAuth 2.0 授權(quán)。訪問令牌使 OAuth 客戶端能夠調(diào)用 API。ID令牌包含有關(guān)經(jīng)過身份驗(yàn)證的用戶的信息。OAuth 客戶端可以使用此信息來定制他們的體驗(yàn)。

如果存在 ID 令牌,您可以在使用令牌類型下拉列表中選擇令牌類型(訪問令牌或ID 令牌)。如果不存在 ID 令牌,則此下拉列表不可用。要檢查 ID 令牌是否存在,請(qǐng)?jiān)诹钆葡吕斜碇羞x擇管理令牌。

更改 OAuth 2.0 令牌類型

霍克認(rèn)證

Hawk 身份驗(yàn)證使您能夠使用部分加密驗(yàn)證來授權(quán)請(qǐng)求??。

要使用 Hawk 身份驗(yàn)證,請(qǐng)執(zhí)行以下操作:

  1. 在請(qǐng)求的授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇Hawk 身份驗(yàn)證。
  2. 在Hawk Auth ID、Hawk Auth Key和Algorithm字段中輸入您的詳細(xì)信息。您可以選擇設(shè)置高級(jí)詳細(xì)信息,但 Postman 會(huì)在必要時(shí)嘗試為它們生成值。
當(dāng)您的請(qǐng)求的Authorization選項(xiàng)卡中的所需詳細(xì)信息完成后,Postman 會(huì)將它們添加到 Headers中。

Hawk認(rèn)證參數(shù)如下:

  • Hawk Auth ID - 您的 API 身份驗(yàn)證 ID 值。
  • Hawk Auth Key - 您的 API 身份驗(yàn)證密鑰值。
  • 算法- 用于創(chuàng)建消息驗(yàn)證代碼 (MAC) 的哈希算法。
  • 高級(jí)參數(shù):用戶- 用戶名。Nonce - 客戶端生成的隨機(jī)字符串。ext - 與請(qǐng)求一起發(fā)送的任何特定于應(yīng)用程序的信息。app - 憑據(jù)和應(yīng)用程序之間的綁定,以防止攻擊者使用頒發(fā)給其他人的憑據(jù)。dlg - 憑據(jù)頒發(fā)給的應(yīng)用程序的 ID。時(shí)間戳- 服務(wù)器用來防止時(shí)間窗口外的重放攻擊的時(shí)間戳。

AWS 簽名

AWS 是 Amazon Web Services 請(qǐng)求的授權(quán)工作流程。AWS 使用基于鍵控 HMAC(哈希消息身份驗(yàn)證代碼)的自定義 HTTP 方案進(jìn)行身份驗(yàn)證。

官方 AWS 簽名文檔提供了更多詳細(xì)信息:

要使用 AWS 簽名,請(qǐng)執(zhí)行以下操作:

  1. 在請(qǐng)求的授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇AWS 簽名。
  2. 使用Add authorization data to下拉列表,選擇請(qǐng)求標(biāo)頭或 URL,選擇 Postman 將附加您的 AWS 身份驗(yàn)證詳細(xì)信息的位置。如果您選擇Request Headers ,Postman 將在Headers選項(xiàng)卡中添加Authorization和X-Amz-前綴字段。如果您選擇Request URL ,Postman 將在Params中添加 auth 詳細(xì)信息,并以 keys 為前綴X-Amz-。
  3. 直接在字段中輸入您的訪問密鑰和秘密值。為了額外的安全性,您可以為這些值使用秘密變量。
  4. 您可以選擇設(shè)置高級(jí)字段,但 Postman 會(huì)在必要時(shí)自動(dòng)生成這些字段。

AWS 簽名參數(shù)如下:

  • AWS 區(qū)域- 接收請(qǐng)求的區(qū)域(默認(rèn)為us-east-1)。
  • 服務(wù)名稱- 接收請(qǐng)求的服務(wù)。
  • 會(huì)話令牌- 僅在使用臨時(shí)安全憑證時(shí)需要。

NTLM 身份驗(yàn)證

Windows 質(zhì)詢/響應(yīng) (NTLM) 是 Windows 操作系統(tǒng)和獨(dú)立系統(tǒng)的授權(quán)流程。

要使用 NTLM 身份驗(yàn)證,請(qǐng)執(zhí)行以下操作:

  1. 在請(qǐng)求的授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇NTLM 身份驗(yàn)證。
  2. 輸入用于 NTLM 訪問的用戶名和密碼(使用變量以避免直接輸入值)。您可以選擇指定高級(jí)參數(shù),但 Postman 會(huì)在必要時(shí)嘗試自動(dòng)完成這些參數(shù)。默認(rèn)情況下,您的請(qǐng)求將在提取第一次收到的數(shù)據(jù)后運(yùn)行第二次。您可以通過選中復(fù)選框來關(guān)閉此行為。

NTLM auth 的高級(jí)參數(shù)如下:

  • 域- 要進(jìn)行身份驗(yàn)證的域或主機(jī)。
  • 工作站- PC 的主機(jī)名。

Akamai EdgeGrid

Akamai EdgeGrid 是 Akamai 開發(fā)和使用的授權(quán)助手。

要使用 Akamai EdgeGrid,請(qǐng)執(zhí)行以下操作:

  1. 在請(qǐng)求的授權(quán)選項(xiàng)卡中,從類型下拉列表中選擇Akamai EdgeGrid 。
  2. 輸入您的Access Token、Client Token和Client Secret,使用變量以提高安全性——當(dāng)您向 Akamai 注冊(cè)客戶端應(yīng)用程序時(shí),您將收到這些詳細(xì)信息。
當(dāng)您的請(qǐng)求的Authorization選項(xiàng)卡中的所需詳細(xì)信息完成后,Postman 會(huì)將它們添加到 Headers中。

有關(guān)獲取憑據(jù)的信息,請(qǐng)參閱Akamai 開發(fā)人員 - 授權(quán)您的客戶端。

同步 cookie

如果您的瀏覽器中有會(huì)話 cookie,您可以使用攔截器將它們同步到 Postman。有關(guān)詳細(xì)信息,請(qǐng)參閱攔截器擴(kuò)展Cookie 。

故障排除

如果您在獲取請(qǐng)求以進(jìn)行身份??驗(yàn)證并成功運(yùn)行時(shí)遇到問題,請(qǐng)查看API 請(qǐng)求故障排除中的提示。如果您仍然有身份驗(yàn)證問題,請(qǐng)查看Postman 論壇上的身份驗(yàn)證標(biāo)簽。


以上內(nèi)容是否對(duì)您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號(hào)
微信公眾號(hào)

編程獅公眾號(hào)