[Postman]受權(11)
受權過程將驗證您是否有權從服務器訪問所需的數據。發送請求時,一般必須包含參數以確保請求具備訪問權限並返回所需數據。Postman提供的受權類型使您能夠輕鬆處理Postman本機應用程序中的身份驗證協議。web
在請求構建器中選擇「受權」時,您會看到TYPE下拉菜單。算法
- 從父級繼承auth
- 沒有Auth
- 持票人令牌
- 基本認證
- 摘要認證
- OAuth 1.0
- OAuth 2.0
- Hawk身份驗證
- AWS簽名
- NTLM身份驗證[Beta]
注意:NTLM和Bearer令牌僅適用於Postman本機應用程序。Postman原生應用和Chrome應用中提供了全部其餘受權類型。請注意,Postman Chrome應用程序已被棄用。安全
您能夠將環境,集合或全局變量與全部受權類型一塊兒使用。除了在Postman應用程序中使用它們以外,您還能夠將這些受權類型與Newman或Postman監視器一塊兒使用。服務器
郵遞員不保存標題數據和查詢參數以防止向公衆公開敏感數據,例如API密鑰。ide
若是要檢查Postman生成的受權標頭和參數,請單擊「 預覽請求」按鈕。編碼
注意:發送後,您能夠在Postman控制檯中檢查整個請求的原始轉儲。加密
從父級繼承auth
將受權添加到集合或文件夾
假設您將一個文件夾添加到集合中。在「 受權」選項卡下,默認受權類型設置爲「從父級繼承身份驗證」。url
「從父級繼承auth」設置表示默認狀況下此文件夾中的每一個請求都使用父級的受權類型。在此示例中,集合使用「No Auth」,所以該文件夾使用「No Auth」,這意味着該文件夾中的全部請求都將使用「No Auth」。spa
若是要將父集合受權類型保留爲「No Auth」,但更新此特定文件夾的受權助手,該怎麼辦?您能夠編輯文件夾詳細信息,從TYPE下拉列表中選擇「Basic Auth」 ,而後輸入您的憑據。所以,此文件夾中的每一個請求都依賴於「Basic Auth」,而父集合中的其他請求仍然不使用任何受權。操作系統
一樣,若是要更新此文件夾中單個請求的受權,則只需爲該請求選擇不一樣的受權類型便可。
若是您有一組全部須要相同受權的請求,您能夠爲集合或文件夾中的全部請求定義受權,或者僅爲每一個請求單獨定義受權。若是建立新集合或文件夾,則父元素中的每一個後續請求都將繼承受權定義,除非用戶明確選擇其餘類型。
要更新集合或文件夾受權,請單擊集合或文件夾名稱旁邊的省略號(...),而後選擇「編輯」以打開模式。選擇「 受權」選項卡,從「 類型」下拉列表中選擇受權類型。您還能夠在最初建立集合時添加集合受權。
例如,若是使用「Basic Auth」建立集合,則集合中的每一個請求都將使用相同的受權幫助程序。若是您但願集合中的特定請求使用不一樣的受權或根本不受權,請使用「 受權」選項卡下的「 類型」下拉列表來定義特定請求的受權幫助程序。
沒有Auth
默認狀況下,下拉菜單列表中首先顯示「No Auth」。當您不須要受權參數來發送請求時,請使用「No Auth」。
持票人令牌
承載令牌是安全令牌。具備承載令牌的任何用戶均可以使用它來訪問數據資源而無需使用加密密鑰。
要使用持票人令牌:
- 在「 受權」選項卡中,從「 類型」下拉菜單中選擇「承載令牌」 。
- 要爲請求設置受權參數,請輸入令牌的值。
- 單擊「 發送」按鈕。
基本認證
Basic Auth是一種受權類型,須要通過驗證的用戶名和密碼才能訪問數據資源。
要使用Basic Auth:
- 在「 受權」選項卡中,從「 類型」下拉菜單中選擇「基自己份驗證」 。
- 要爲請求設置受權參數,請輸入您的用戶名和密碼。
- 單擊「 發送」按鈕。
摘要認證
在摘要認證流程中,客戶端向服務器發送請求,該服務器發回nonce和realm值以供客戶端進行認證。客戶端使用nonce和realm發回一個哈希的用戶名和密碼。而後,服務器發回所請求的數據。
默認狀況下,Postman從響應中提取值。若是您不想提取這些值,則有兩種選擇:
- 在所選字段的高級部分中輸入您本身的值,或
- 選中「是,禁用重試請求」複選框以跳太重試請求。
要使用摘要身份驗證:
- 在「 受權」選項卡中,從「 類型」下拉菜單中選擇「摘要驗證」 。
- 要爲請求設置受權參數,請輸入您的用戶名和密碼。(您還能夠設置高級摘要身份驗證參數。)
- 單擊「 發送」按鈕。
該表描述了Digest Auth的高級參數。高級配置設置是可選的。若是留空,郵遞員會自動爲某些字段生成值。
| 高級參數 | 描述 |
|---|---|
| 領域 | 服務器在www-Authenticate響應頭中指定的字符串。 |
| 杜撰 | 服務器在www-Authenticate響應頭中指定的惟一字符串。 |
| 算法 | 一個字符串,指示用於生成摘要和校驗和的一對算法。 |
| QOP | 應用於消息的保護質量。該值必須是服務器在www-Authenticate響應頭中指定的備選方案之一。 |
| Nonce Count | 客戶端在此請求中使用nonce值發送的請求數(包括當前請求)的十六進制計數。若是發送了qop指令,則必須指定count,若是服務器未在www-Authenticate響應頭中發送qop指令,則不能指定count。郵遞員老是發送00000001做爲隨機數。 |
| 客戶現時 | 由客戶端提供並由客戶端和服務器使用的不透明引用字符串,以免選擇明文攻擊以提供相互身份驗證並提供一些消息完整性保護。若是發送了qop指令,則必須指定count,若是服務器未在www-Authenticate響應頭中發送qop指令,則不能指定count。 |
| 不透明 | 這是服務器在www-Authenticate響應頭中指定的一串數據,這裏應該使用相同保護空間中的URL保持不變。咱們建議此字符串爲base64編碼數據。 |
OAuth 1.0
OAuth 1.0是一種受權類型,使您能夠批准與您聯繫其餘應用程序的應用程序,而不會泄露您的密碼。
要使用OAuth 1.0受權:
- 在「 受權」標籤中,從「 類型」下拉菜單中選擇「OAuth 1.0」 。
- 從「添加受權數據到」下拉菜單中,選擇「請求正文/請求URL」或「請求標題」。
當您選擇「請求正文/請求URL」時,郵遞員會檢查請求方法是POST仍是PUT,以及請求正文類型是否爲x-www-form-urlencoded。若是是這樣,Postman將受權參數添加到請求正文。對於全部其餘狀況,它會將受權參數添加到URL。
- 要設置請求的受權參數,請輸入「使用者密鑰」,「消費者密鑰」,「訪問令牌」和「令牌密鑰」。您還能夠設置高級摘要OAuth 1.0參數。
此表描述了OAuth 1.0受權的參數。
| 參數 | 描述 |
|---|---|
| 消費者密鑰 | 消費者的價值,用於向服務提供商標識本身。 |
| 消費者祕密 | 創建消費者密鑰全部權的消費者祕密。 |
| 訪問令牌 | 包含安全標識的對象。 |
| 高級參數 | 簽名方法| 消費者的祕密,用於創建給定令牌的全部權。| | 時間戳| 服務器用於防止時間窗口以外的重放攻擊的時間戳。| | Nonce |服務器在www-Authenticate響應頭中指定的惟一字符串 | 版本| OAuth身份驗證協議的1.0版本 | 領域|服務器在www-Authenticate響應頭中指定的字符串。|
注意:OAuth 1.0的某些實現須要將空參數添加到簽名中。您能夠選擇「將空參數添加到簽名」以添加空參數。
OAuth 2.0
OAuth 2.0是一種受權類型,使您能夠批准與您聯繫其餘應用程序的應用程序,而不會泄露您的密碼。
要使用OAuth 2.0受權:
- 在「 受權」標籤中,從「 類型」下拉菜單中選擇「OAuth 2.0」 。
- 從「添加受權數據到」下拉菜單中,選擇「請求URL」或「請求標頭」。
-
要爲請求設置受權參數,您有三個選項:
- 單擊「 獲取新訪問令牌」按鈕。在得到新的訪問令牌畫面出現。輸入適當的值,單擊「 請求令牌」按鈕以填充「訪問令牌」字段,而後單擊「 發送」按鈕。
- 在「訪問令牌」字段中,輸入令牌或環境定義變量,而後單擊「 發送」按鈕。
- 在「可用標記」下拉菜單中,選擇現有標記,而後單擊「 發送」按鈕。
此表描述了GET NEW ACCESS TOKEN屏幕中的參數。
| 參數 | 描述 |
|---|---|
| 令牌名稱 | 令牌的名稱。 |
| 撥款類型 | 一個下拉菜單,您能夠在其中指定如下受權類型之一:「受權代碼」,「隱式」,「密碼憑據」和「客戶端憑據」。 |
| 回調網址 | 應用程序的回調URL已在服務器中註冊。若是未提供,Postman使用默認的空URL並從中提取代碼或訪問令牌。 |
| 驗證URL | 受權服務器的端點,用於檢索受權代碼。 |
| 訪問令牌URL | 資源服務器的端點,用於交換訪問令牌的受權代碼。 |
| 客戶ID | 在應用程序註冊過程當中提供給客戶端的客戶端標識符。 |
| 客戶祕密 | 在應用程序註冊過程當中向客戶端提供的客戶機密。 |
| 範圍 | 訪問請求的範圍,可能有多個以空格分隔的值。 |
| 州 | 一個不透明的值,可防止跨站點請求僞造。 |
| 客戶認證 | 一個下拉菜單,您能夠在標題中發送基自己份驗證請求,也能夠在請求正文中發送客戶端憑據。 注意 :升級到新版本後,請更改此下拉菜單中的值以免客戶端身份驗證出現問題。 |
您能夠單擊列表中的「管理令牌」以查看有關每一個令牌的更多詳細信息,並刪除其中任何一個令牌。若是列表中沒有令牌,則用戶須要單擊「 獲取新訪問令牌」按鈕以生成Postman添加到列表中的令牌。
注意:刪除令牌不會撤消訪問令牌。只有頒發令牌的服務器才能撤消它。
Hawk身份驗證
Hawk身份驗證使您可使用請求的部分加密驗證來進行通過身份驗證的請求。
要使用Hawk身份驗證:
- 在「 受權」選項卡中,從「 類型」下拉菜單中選擇「Hawk身份驗證」 。
- 要設置請求的受權參數,請輸入「Hawk Auth ID」,「Hawk Auth Key」和「Algorithm values」。您還能夠設置高級Hawk身份驗證參數。
- 單擊「 發送」按鈕。
該表描述了Hawk身份驗證的參數。
| 參數 | 描述 |
|---|---|
| Hawk Auth ID | 身份驗證ID值。 |
| Hawk Auth Key | 身份驗證密鑰值。 |
| 算法 | 用於建立消息認證碼(MAC)的哈希算法。 |
此表描述了Hawk身份驗證的高級參數。高級配置設置是可選的。若是留空,郵遞員會自動爲某些字段生成值。
| 高級參數 | 描述 |
|---|---|
| 用戶 | 用戶名。 |
| 杜撰 | 從客戶端生成的隨機字符串。 |
| EXT | 隨請求一塊兒發送的任何特定於應用程序的信息。 |
| 應用 | 憑據和應用程序之間的綁定,以防止攻擊者欺騙應用程序使用頒發給其餘人的憑據。 |
| DLG | 直接頒發憑據的應用程序的ID。 |
| 時間戳 | 服務器用於防止時間窗口以外的重放攻擊的時間戳。 |
注意:高級配置設置是可選的。若是留空,郵遞員自動會爲某些字段生成值。
Amazon Web Services(AWS)身份驗證
AWS是Amazon Work Services請求的受權工做流程。AWS用戶必須使用基於密鑰HMAC(哈希消息身份驗證代碼)的自定義HTTP方案進行身份驗證。郵差支持這個計劃。
閱讀有關AWS文檔上的AWS簽名的更多信息:
- 簽名和驗證REST請求
- 使用Postman調用API
要使用AWS身份驗證:
- 在「 受權」選項卡中,從「 類型」下拉菜單中選擇「AWS簽名」 。
- 要爲請求設置受權參數,請輸入訪問密鑰和密鑰的值。您還能夠設置高級AWS身份驗證參數。
- 單擊「 發送」按鈕。
此表描述了AWS身份驗證的高級參數。高級配置設置是可選的。若是留空,郵遞員會自動爲某些字段生成值。
| 高級參數 | 描述 |
|---|---|
| AWS區域 | 接收請求的區域。(默認區域爲us-east-1。) |
| 服務名稱 | 接收請求的服務。 |
| 會話令牌 | 僅在使用臨時安全證書時才須要。 |
NTLM身份驗證
Windows質詢/響應(NTLM)是Windows操做系統和獨立系統的受權流程。默認狀況下,Postman從收到的響應中提取值,將其添加到請求中,而後重試。郵遞員爲您提供禁用此默認行爲的選項。
要使用NTLM身份驗證:
- 在「 受權」選項卡中,從「 類型」下拉菜單中選擇「NTLM身份驗證」 。
- 要爲請求設置受權參數,請輸入用戶名和密碼。您還能夠設置高級NTLM身份驗證參數。
- 單擊「 發送」按鈕。
此表描述了NTLM身份驗證的高級參數。高級配置設置是可選的。若是留空,郵遞員會自動爲某些字段生成值。
| 高級參數 | 描述 |
|---|---|
| 域 | 要進行身份驗證的域或主機。 |
| 工做站 | PC的主機名。 |
- 1. Postman-OAuth 2.0受權
- 2. PostMan受權認證使用
- 3. OAuth 2.0受權之受權碼受權
- 4. 系統權限及用戶受權命令(11)
- 5. 受權
- 6. postman 中給全部接口token受權的配置
- 7. mysql受權與撤銷受權
- 8. ASP.NET Core策略受權和 ABP 受權
- 9. mysql受權 遠程訪問受權
- 10. mysql受權主機+受權用戶
- 更多相關文章...
- • Rust 所有權 - RUST 教程
- • MySQL用戶授權(GRANT) - MySQL教程
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
- • Flink 數據傳輸及反壓詳解
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Postman-OAuth 2.0受權
- 2. PostMan受權認證使用
- 3. OAuth 2.0受權之受權碼受權
- 4. 系統權限及用戶受權命令(11)
- 5. 受權
- 6. postman 中給全部接口token受權的配置
- 7. mysql受權與撤銷受權
- 8. ASP.NET Core策略受權和 ABP 受權
- 9. mysql受權 遠程訪問受權
- 10. mysql受權主機+受權用戶