Postman—authorization简介

Postman中的authorization

版权声明，参考： https://blog.csdn.net/qq_28284093/article/details/80416749

一、概述

    Authorization是验证是否拥有从服务器访问所需数据的权限。当发送请求时，一般必须包含参数，以确保请求具备访问和返回所需数据的权限。Postman提供了受权类型，能够轻松地在Postman本地应用程序中处理身份验证协议。

二、使用

    当在postman中选择Authorization的类型的时候，能够看到一共有10个类型，以下图：

应当注意:NTLM和BearerToken仅在Postman本地应用程序中可用。全部其余受权类型均可以在Postman本地应用程序和Chrome应用程序中使用。

    如今来按照上图从上到下去看看这10种类型： 

a、Inherit auth from parent （从父类继承身份验证）

 向集合或文件夹添加受权。
 假设您在集合中添加了一个文件夹。在受权选项卡下，默认的受权类型将被设置为“从父类继承auth”。

“从父”设置的“继承auth”指示默认状况下，该文件夹中的每一个请求都使用父类的受权类型。在本例中，该集合使用“No Auth”，所以该文件夹使用“No Auth”，这意味着该文件夹中的全部请求将使用“No Auth”

 若是您但愿将父集合受权类型保留为“No Auth”，但要更新这个特定的文件夹的受权助手，该怎么办呢?您能够编辑文件夹的详细信息，从类型下拉菜单中选择“基本的Auth”，并输入您的凭证。所以，这个文件夹中的每一个请求都依赖于“基本的Auth”，而父集合中的其他请求仍然不使用任何受权。以下图所示：

b、No Auth

默认状况下，“No Auth”出如今下拉菜单列表中。当您不须要受权参数发送请求时，使用“No Auth”。

c、Bearer Token

Bearer Token是安全令牌。任何带有Bearer Token的用户均可以使用它来访问数据资源，而无需使用加密密钥。
使用Bearer Token:
第一步：从下拉菜单中选择“Bearer Token”。

第二步：要设置请求的受权参数，请输入令牌的值。

第三步：点击发送按钮。

d、Basic Auth

基自己份验证是一种比较简单的受权类型，须要通过验证的用户名和密码才能访问数据资源。这就须要咱们输入用户名和对应的密码。
使用基自己份验证:
第一步：从下拉菜单中选择“Basic Auth”。
第二步：要设置请求的受权参数，请输入您的用户名和密码。

第三步：点击发送按钮。

因为“Basic auth”使用明文传递，目前基本不多使用了。

 e 、Digest Auth

在“Digest Auth”流程中，客户端向服务器发送请求，服务器返回客户端的nonce和realm值；客户端对用户名、密码、nonce值、HTTP请求方法、被请求资源URI等组合后进行MD5运算，把计算获得的摘要信息发送给服务端。服务器而后发回客户端请求的数据。

经过哈希算法对通讯双方身份的认证十分常见，它的好处就是没必要把具有密码的信息对外传输，只需将这些密码信息加入一个对方给定的随机值计算哈希值，最后将哈希值传给对方，对方就能够认证你的身份。Digest思想一样采如此，用了一种nonce随机数字符串，双方约好对哪些信息进行哈希运算便可完成双方身份的验证。Digest模式避免了密码在网络上明文传输，提升了安全性，但它仍然存在缺点，例如认证报文被攻击者拦截到攻击者能够获取到资源。

默认状况下，Postman从响应中提取值对应的值。若是不想提取这些值，有如下两种选择：

• 在所选字段的高级部分中输入您本身的值
• 勾选“Yes,disable retrying the request”复选框。

在Postman中使用“Digest Auth”以下图所示：

f 、OAuth 1.0

OAuth 1.0是一种可让咱们在不公开密码的状况下受权使用其余应用程序的受权模式。

在Postman中按照如下步骤使用OAuth 1.0受权：

1. 在Authorization下来受权标签中选择“OAuth 1.0”受权模式；
2. 在“Add authorization data to” 下拉选择框中，选择对应的请求模式。

当选择“Request Body/Request URL”时，Postman将检查请求方法是POST仍是PUT，以及请求主体类型是不是x-www-form-urlencoded；若是是这样，Postman将增长受权参数到请求主体。对于全部其余状况，它会向URL添加受权参数。

实际使用时，须要按照下图所示填写对应的参数：

g 、OAuth 2.0

OAuth 2.0做为OAuth 1.0的升级版本。在Postman中按照如下步骤进行使用：

1. 在Authorization下来受权标签中选择“OAuth 2.0”受权模式；
2. 在“Add authorization data to”下拉选择框中，选择对应的请求模式；
3. 设置请求的受权参数，有如下三个选择：
   1. 点击“Get New Access Token”按钮，在弹出的对话框中输入对应的参数；单击“Request Token”按钮获取对应的Token。接下来有了对应的Token后，就能够点击“Send”按钮发送请求了；
   2. 在“Access Token”输入框中输入一个Token，或者Token对应的环境变量，而后就能够点击“Send”按钮发送请求了；
   3. 在“Available Tokens”下拉框中选择已经存在的Token，而后发送请求。

以下图所示：

h、Hawk Authentication

hawk是一个HTTP认证方案，使用MAC(Message Authentication Code，消息认证码算法)算法，它提供了对请求进行部分加密验证的认证HTTP请求的方法，包括HTTP方法、请求URI和主机。

hawk方案要求提供一个共享对称密匙在服务器与客户端之间，一般这个共享的凭证在初始TLS保护阶段创建的，或者是从客户端和服务器均可用的其余一些共享机密信息中得到的。

在Postman中具体使用以下图所示：