[Postman]受权(11)
受权过程将验证您是否有权从服务器访问所需的数据。发送请求时,一般必须包含参数以确保请求具备访问权限并返回所需数据。Postman提供的受权类型使您能够轻松处理Postman本机应用程序中的身份验证协议。web
在请求构建器中选择“受权”时,您会看到TYPE下拉菜单。算法
- 从父级继承auth
- 没有Auth
- 持票人令牌
- 基本认证
- 摘要认证
- OAuth 1.0
- OAuth 2.0
- Hawk身份验证
- AWS签名
- NTLM身份验证[Beta]
注意:NTLM和Bearer令牌仅适用于Postman本机应用程序。Postman原生应用和Chrome应用中提供了全部其余受权类型。请注意,Postman Chrome应用程序已被弃用。安全
您能够将环境,集合或全局变量与全部受权类型一块儿使用。除了在Postman应用程序中使用它们以外,您还能够将这些受权类型与Newman或Postman监视器一块儿使用。服务器
邮递员不保存标题数据和查询参数以防止向公众公开敏感数据,例如API密钥。ide
若是要检查Postman生成的受权标头和参数,请单击“ 预览请求”按钮。编码
注意:发送后,您能够在Postman控制台中检查整个请求的原始转储。加密
从父级继承auth
将受权添加到集合或文件夹
假设您将一个文件夹添加到集合中。在“ 受权”选项卡下,默认受权类型设置为“从父级继承身份验证”。url
“从父级继承auth”设置表示默认状况下此文件夹中的每一个请求都使用父级的受权类型。在此示例中,集合使用“No Auth”,所以该文件夹使用“No Auth”,这意味着该文件夹中的全部请求都将使用“No Auth”。spa
若是要将父集合受权类型保留为“No Auth”,但更新此特定文件夹的受权助手,该怎么办?您能够编辑文件夹详细信息,从TYPE下拉列表中选择“Basic Auth” ,而后输入您的凭据。所以,此文件夹中的每一个请求都依赖于“Basic Auth”,而父集合中的其他请求仍然不使用任何受权。操作系统
一样,若是要更新此文件夹中单个请求的受权,则只需为该请求选择不一样的受权类型便可。
若是您有一组全部须要相同受权的请求,您能够为集合或文件夹中的全部请求定义受权,或者仅为每一个请求单独定义受权。若是建立新集合或文件夹,则父元素中的每一个后续请求都将继承受权定义,除非用户明确选择其余类型。
要更新集合或文件夹受权,请单击集合或文件夹名称旁边的省略号(...),而后选择“编辑”以打开模式。选择“ 受权”选项卡,从“ 类型”下拉列表中选择受权类型。您还能够在最初建立集合时添加集合受权。
例如,若是使用“Basic Auth”建立集合,则集合中的每一个请求都将使用相同的受权帮助程序。若是您但愿集合中的特定请求使用不一样的受权或根本不受权,请使用“ 受权”选项卡下的“ 类型”下拉列表来定义特定请求的受权帮助程序。
没有Auth
默认状况下,下拉菜单列表中首先显示“No Auth”。当您不须要受权参数来发送请求时,请使用“No Auth”。
持票人令牌
承载令牌是安全令牌。具备承载令牌的任何用户均可以使用它来访问数据资源而无需使用加密密钥。
要使用持票人令牌:
- 在“ 受权”选项卡中,从“ 类型”下拉菜单中选择“承载令牌” 。
- 要为请求设置受权参数,请输入令牌的值。
- 单击“ 发送”按钮。
基本认证
Basic Auth是一种受权类型,须要通过验证的用户名和密码才能访问数据资源。
要使用Basic Auth:
- 在“ 受权”选项卡中,从“ 类型”下拉菜单中选择“基自己份验证” 。
- 要为请求设置受权参数,请输入您的用户名和密码。
- 单击“ 发送”按钮。
摘要认证
在摘要认证流程中,客户端向服务器发送请求,该服务器发回nonce和realm值以供客户端进行认证。客户端使用nonce和realm发回一个哈希的用户名和密码。而后,服务器发回所请求的数据。
默认状况下,Postman从响应中提取值。若是您不想提取这些值,则有两种选择:
- 在所选字段的高级部分中输入您本身的值,或
- 选中“是,禁用重试请求”复选框以跳太重试请求。
要使用摘要身份验证:
- 在“ 受权”选项卡中,从“ 类型”下拉菜单中选择“摘要验证” 。
- 要为请求设置受权参数,请输入您的用户名和密码。(您还能够设置高级摘要身份验证参数。)
- 单击“ 发送”按钮。
该表描述了Digest Auth的高级参数。高级配置设置是可选的。若是留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| 领域 | 服务器在www-Authenticate响应头中指定的字符串。 |
| 杜撰 | 服务器在www-Authenticate响应头中指定的惟一字符串。 |
| 算法 | 一个字符串,指示用于生成摘要和校验和的一对算法。 |
| QOP | 应用于消息的保护质量。该值必须是服务器在www-Authenticate响应头中指定的备选方案之一。 |
| Nonce Count | 客户端在此请求中使用nonce值发送的请求数(包括当前请求)的十六进制计数。若是发送了qop指令,则必须指定count,若是服务器未在www-Authenticate响应头中发送qop指令,则不能指定count。邮递员老是发送00000001做为随机数。 |
| 客户现时 | 由客户端提供并由客户端和服务器使用的不透明引用字符串,以免选择明文攻击以提供相互身份验证并提供一些消息完整性保护。若是发送了qop指令,则必须指定count,若是服务器未在www-Authenticate响应头中发送qop指令,则不能指定count。 |
| 不透明 | 这是服务器在www-Authenticate响应头中指定的一串数据,这里应该使用相同保护空间中的URL保持不变。咱们建议此字符串为base64编码数据。 |
OAuth 1.0
OAuth 1.0是一种受权类型,使您能够批准与您联系其余应用程序的应用程序,而不会泄露您的密码。
要使用OAuth 1.0受权:
- 在“ 受权”标签中,从“ 类型”下拉菜单中选择“OAuth 1.0” 。
- 从“添加受权数据到”下拉菜单中,选择“请求正文/请求URL”或“请求标题”。
当您选择“请求正文/请求URL”时,邮递员会检查请求方法是POST仍是PUT,以及请求正文类型是否为x-www-form-urlencoded。若是是这样,Postman将受权参数添加到请求正文。对于全部其余状况,它会将受权参数添加到URL。
- 要设置请求的受权参数,请输入“使用者密钥”,“消费者密钥”,“访问令牌”和“令牌密钥”。您还能够设置高级摘要OAuth 1.0参数。
此表描述了OAuth 1.0受权的参数。
| 参数 | 描述 |
|---|---|
| 消费者密钥 | 消费者的价值,用于向服务提供商标识本身。 |
| 消费者秘密 | 创建消费者密钥全部权的消费者秘密。 |
| 访问令牌 | 包含安全标识的对象。 |
| 高级参数 | 签名方法| 消费者的秘密,用于创建给定令牌的全部权。| | 时间戳| 服务器用于防止时间窗口以外的重放攻击的时间戳。| | Nonce |服务器在www-Authenticate响应头中指定的惟一字符串 | 版本| OAuth身份验证协议的1.0版本 | 领域|服务器在www-Authenticate响应头中指定的字符串。|
注意:OAuth 1.0的某些实现须要将空参数添加到签名中。您能够选择“将空参数添加到签名”以添加空参数。
OAuth 2.0
OAuth 2.0是一种受权类型,使您能够批准与您联系其余应用程序的应用程序,而不会泄露您的密码。
要使用OAuth 2.0受权:
- 在“ 受权”标签中,从“ 类型”下拉菜单中选择“OAuth 2.0” 。
- 从“添加受权数据到”下拉菜单中,选择“请求URL”或“请求标头”。
-
要为请求设置受权参数,您有三个选项:
- 单击“ 获取新访问令牌”按钮。在得到新的访问令牌画面出现。输入适当的值,单击“ 请求令牌”按钮以填充“访问令牌”字段,而后单击“ 发送”按钮。
- 在“访问令牌”字段中,输入令牌或环境定义变量,而后单击“ 发送”按钮。
- 在“可用标记”下拉菜单中,选择现有标记,而后单击“ 发送”按钮。
此表描述了GET NEW ACCESS TOKEN屏幕中的参数。
| 参数 | 描述 |
|---|---|
| 令牌名称 | 令牌的名称。 |
| 拨款类型 | 一个下拉菜单,您能够在其中指定如下受权类型之一:“受权代码”,“隐式”,“密码凭据”和“客户端凭据”。 |
| 回调网址 | 应用程序的回调URL已在服务器中注册。若是未提供,Postman使用默认的空URL并从中提取代码或访问令牌。 |
| 验证URL | 受权服务器的端点,用于检索受权代码。 |
| 访问令牌URL | 资源服务器的端点,用于交换访问令牌的受权代码。 |
| 客户ID | 在应用程序注册过程当中提供给客户端的客户端标识符。 |
| 客户秘密 | 在应用程序注册过程当中向客户端提供的客户机密。 |
| 范围 | 访问请求的范围,可能有多个以空格分隔的值。 |
| 州 | 一个不透明的值,可防止跨站点请求伪造。 |
| 客户认证 | 一个下拉菜单,您能够在标题中发送基自己份验证请求,也能够在请求正文中发送客户端凭据。 注意 :升级到新版本后,请更改此下拉菜单中的值以免客户端身份验证出现问题。 |
您能够单击列表中的“管理令牌”以查看有关每一个令牌的更多详细信息,并删除其中任何一个令牌。若是列表中没有令牌,则用户须要单击“ 获取新访问令牌”按钮以生成Postman添加到列表中的令牌。
注意:删除令牌不会撤消访问令牌。只有颁发令牌的服务器才能撤消它。
Hawk身份验证
Hawk身份验证使您可使用请求的部分加密验证来进行通过身份验证的请求。
要使用Hawk身份验证:
- 在“ 受权”选项卡中,从“ 类型”下拉菜单中选择“Hawk身份验证” 。
- 要设置请求的受权参数,请输入“Hawk Auth ID”,“Hawk Auth Key”和“Algorithm values”。您还能够设置高级Hawk身份验证参数。
- 单击“ 发送”按钮。
该表描述了Hawk身份验证的参数。
| 参数 | 描述 |
|---|---|
| Hawk Auth ID | 身份验证ID值。 |
| Hawk Auth Key | 身份验证密钥值。 |
| 算法 | 用于建立消息认证码(MAC)的哈希算法。 |
此表描述了Hawk身份验证的高级参数。高级配置设置是可选的。若是留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| 用户 | 用户名。 |
| 杜撰 | 从客户端生成的随机字符串。 |
| EXT | 随请求一块儿发送的任何特定于应用程序的信息。 |
| 应用 | 凭据和应用程序之间的绑定,以防止攻击者欺骗应用程序使用颁发给其余人的凭据。 |
| DLG | 直接颁发凭据的应用程序的ID。 |
| 时间戳 | 服务器用于防止时间窗口以外的重放攻击的时间戳。 |
注意:高级配置设置是可选的。若是留空,邮递员自动会为某些字段生成值。
Amazon Web Services(AWS)身份验证
AWS是Amazon Work Services请求的受权工做流程。AWS用户必须使用基于密钥HMAC(哈希消息身份验证代码)的自定义HTTP方案进行身份验证。邮差支持这个计划。
阅读有关AWS文档上的AWS签名的更多信息:
- 签名和验证REST请求
- 使用Postman调用API
要使用AWS身份验证:
- 在“ 受权”选项卡中,从“ 类型”下拉菜单中选择“AWS签名” 。
- 要为请求设置受权参数,请输入访问密钥和密钥的值。您还能够设置高级AWS身份验证参数。
- 单击“ 发送”按钮。
此表描述了AWS身份验证的高级参数。高级配置设置是可选的。若是留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| AWS区域 | 接收请求的区域。(默认区域为us-east-1。) |
| 服务名称 | 接收请求的服务。 |
| 会话令牌 | 仅在使用临时安全证书时才须要。 |
NTLM身份验证
Windows质询/响应(NTLM)是Windows操做系统和独立系统的受权流程。默认状况下,Postman从收到的响应中提取值,将其添加到请求中,而后重试。邮递员为您提供禁用此默认行为的选项。
要使用NTLM身份验证:
- 在“ 受权”选项卡中,从“ 类型”下拉菜单中选择“NTLM身份验证” 。
- 要为请求设置受权参数,请输入用户名和密码。您还能够设置高级NTLM身份验证参数。
- 单击“ 发送”按钮。
此表描述了NTLM身份验证的高级参数。高级配置设置是可选的。若是留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| 域 | 要进行身份验证的域或主机。 |
| 工做站 | PC的主机名。 |
- 1. Postman-OAuth 2.0受权
- 2. PostMan受权认证使用
- 3. OAuth 2.0受权之受权码受权
- 4. 系统权限及用户受权命令(11)
- 5. 受权
- 6. postman 中给全部接口token受权的配置
- 7. mysql受权与撤销受权
- 8. ASP.NET Core策略受权和 ABP 受权
- 9. mysql受权 远程访问受权
- 10. mysql受权主机+受权用户
- 更多相关文章...
- • Rust 所有权 - RUST 教程
- • MySQL用户授权(GRANT) - MySQL教程
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
- • Flink 数据传输及反压详解
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Postman-OAuth 2.0受权
- 2. PostMan受权认证使用
- 3. OAuth 2.0受权之受权码受权
- 4. 系统权限及用户受权命令(11)
- 5. 受权
- 6. postman 中给全部接口token受权的配置
- 7. mysql受权与撤销受权
- 8. ASP.NET Core策略受权和 ABP 受权
- 9. mysql受权 远程访问受权
- 10. mysql受权主机+受权用户