Postman—authorization簡介

Postman中的authorization

版權聲明，參考： https://blog.csdn.net/qq_28284093/article/details/80416749

一、概述

    Authorization是驗證是否擁有從服務器訪問所需數據的權限。當發送請求時，一般必須包含參數，以確保請求具備訪問和返回所需數據的權限。Postman提供了受權類型，能夠輕鬆地在Postman本地應用程序中處理身份驗證協議。

二、使用

    當在postman中選擇Authorization的類型的時候，能夠看到一共有10個類型，以下圖：

應當注意:NTLM和BearerToken僅在Postman本地應用程序中可用。全部其餘受權類型均可以在Postman本地應用程序和Chrome應用程序中使用。

    如今來按照上圖從上到下去看看這10種類型： 

a、Inherit auth from parent （從父類繼承身份驗證）

 向集合或文件夾添加受權。
 假設您在集合中添加了一個文件夾。在受權選項卡下，默認的受權類型將被設置爲「從父類繼承auth」。

「從父」設置的「繼承auth」指示默認狀況下，該文件夾中的每一個請求都使用父類的受權類型。在本例中，該集合使用「No Auth」，所以該文件夾使用「No Auth」，這意味着該文件夾中的全部請求將使用「No Auth」

 若是您但願將父集合受權類型保留爲「No Auth」，但要更新這個特定的文件夾的受權助手，該怎麼辦呢?您能夠編輯文件夾的詳細信息，從類型下拉菜單中選擇「基本的Auth」，並輸入您的憑證。所以，這個文件夾中的每一個請求都依賴於「基本的Auth」，而父集合中的其他請求仍然不使用任何受權。以下圖所示：

b、No Auth

默認狀況下，「No Auth」出如今下拉菜單列表中。當您不須要受權參數發送請求時，使用「No Auth」。

c、Bearer Token

Bearer Token是安全令牌。任何帶有Bearer Token的用戶均可以使用它來訪問數據資源，而無需使用加密密鑰。
使用Bearer Token:
第一步：從下拉菜單中選擇「Bearer Token」。

第二步：要設置請求的受權參數，請輸入令牌的值。

第三步：點擊發送按鈕。

d、Basic Auth

基自己份驗證是一種比較簡單的受權類型，須要通過驗證的用戶名和密碼才能訪問數據資源。這就須要咱們輸入用戶名和對應的密碼。
使用基自己份驗證:
第一步：從下拉菜單中選擇「Basic Auth」。
第二步：要設置請求的受權參數，請輸入您的用戶名和密碼。

第三步：點擊發送按鈕。

因爲「Basic auth」使用明文傳遞，目前基本不多使用了。

 e 、Digest Auth

在「Digest Auth」流程中，客戶端向服務器發送請求，服務器返回客戶端的nonce和realm值；客戶端對用戶名、密碼、nonce值、HTTP請求方法、被請求資源URI等組合後進行MD5運算，把計算獲得的摘要信息發送給服務端。服務器而後發回客戶端請求的數據。

經過哈希算法對通訊雙方身份的認證十分常見，它的好處就是沒必要把具有密碼的信息對外傳輸，只需將這些密碼信息加入一個對方給定的隨機值計算哈希值，最後將哈希值傳給對方，對方就能夠認證你的身份。Digest思想一樣採如此，用了一種nonce隨機數字符串，雙方約好對哪些信息進行哈希運算便可完成雙方身份的驗證。Digest模式避免了密碼在網絡上明文傳輸，提升了安全性，但它仍然存在缺點，例如認證報文被攻擊者攔截到攻擊者能夠獲取到資源。

默認狀況下，Postman從響應中提取值對應的值。若是不想提取這些值，有如下兩種選擇：

• 在所選字段的高級部分中輸入您本身的值
• 勾選「Yes,disable retrying the request」複選框。

在Postman中使用「Digest Auth」以下圖所示：

f 、OAuth 1.0

OAuth 1.0是一種可讓咱們在不公開密碼的狀況下受權使用其餘應用程序的受權模式。

在Postman中按照如下步驟使用OAuth 1.0受權：

1. 在Authorization下來受權標籤中選擇「OAuth 1.0」受權模式；
2. 在「Add authorization data to」 下拉選擇框中，選擇對應的請求模式。

當選擇「Request Body/Request URL」時，Postman將檢查請求方法是POST仍是PUT，以及請求主體類型是不是x-www-form-urlencoded；若是是這樣，Postman將增長受權參數到請求主體。對於全部其餘狀況，它會向URL添加受權參數。

實際使用時，須要按照下圖所示填寫對應的參數：

g 、OAuth 2.0

OAuth 2.0做爲OAuth 1.0的升級版本。在Postman中按照如下步驟進行使用：

1. 在Authorization下來受權標籤中選擇「OAuth 2.0」受權模式；
2. 在「Add authorization data to」下拉選擇框中，選擇對應的請求模式；
3. 設置請求的受權參數，有如下三個選擇：
   1. 點擊「Get New Access Token」按鈕，在彈出的對話框中輸入對應的參數；單擊「Request Token」按鈕獲取對應的Token。接下來有了對應的Token後，就能夠點擊「Send」按鈕發送請求了；
   2. 在「Access Token」輸入框中輸入一個Token，或者Token對應的環境變量，而後就能夠點擊「Send」按鈕發送請求了；
   3. 在「Available Tokens」下拉框中選擇已經存在的Token，而後發送請求。

以下圖所示：

h、Hawk Authentication

hawk是一個HTTP認證方案，使用MAC(Message Authentication Code，消息認證碼算法)算法，它提供了對請求進行部分加密驗證的認證HTTP請求的方法，包括HTTP方法、請求URI和主機。

hawk方案要求提供一個共享對稱密匙在服務器與客戶端之間，一般這個共享的憑證在初始TLS保護階段創建的，或者是從客戶端和服務器均可用的其餘一些共享機密信息中得到的。

在Postman中具體使用以下圖所示：