Postman—authorization簡介

Postman中的authorization

版權聲明，參考： https://blog.csdn.net/qq_28284093/article/details/80416749

1、概述

    Authorization是驗證是否擁有從服務器訪問所需數據的權限。當發送請求時，通常必須包含參數，以確保請求具有訪問和返回所需數據的權限。Postman提供了授權類型，可以輕松地在Postman本地應用程序中處理身份驗證協議。

2、使用

    當在postman中選擇Authorization的類型的時候，可以看到一共有10個類型，如下圖：

應當注意:NTLM和BearerToken僅在Postman本地應用程序中可用。所有其他授權類型都可以在Postman本地應用程序和Chrome應用程序中使用。

    現在來按照上圖從上到下去看看這10種類型： 

a、Inherit auth from parent （從父類繼承身份驗證）

 向集合或文件夾添加授權。
 假設您在集合中添加了一個文件夾。在授權選項卡下，默認的授權類型將被設置為“從父類繼承auth”。

“從父”設置的“繼承auth”指示默認情況下，該文件夾中的每個請求都使用父類的授權類型。在本例中，該集合使用“No Auth”，因此該文件夾使用“No Auth”，這意味着該文件夾中的所有請求將使用“No Auth”

 如果您希望將父集合授權類型保留為“No Auth”，但要更新這個特定的文件夾的授權助手，該怎么辦呢?您可以編輯文件夾的詳細信息，從類型下拉菜單中選擇“基本的Auth”，並輸入您的憑證。因此，這個文件夾中的每個請求都依賴於“基本的Auth”，而父集合中的其余請求仍然不使用任何授權。如下圖所示：

b、No Auth

默認情況下，“No Auth”出現在下拉菜單列表中。當您不需要授權參數發送請求時，使用“No Auth”。

c、Bearer Token

Bearer Token是安全令牌。任何帶有Bearer Token的用戶都可以使用它來訪問數據資源，而無需使用加密密鑰。
使用Bearer Token:
第一步：從下拉菜單中選擇“Bearer Token”。

第二步：要設置請求的授權參數，請輸入令牌的值。

第三步：點擊發送按鈕。

d、Basic Auth

基本身份驗證是一種比較簡單的授權類型，需要經過驗證的用戶名和密碼才能訪問數據資源。這就需要我們輸入用戶名和對應的密碼。
使用基本身份驗證:
第一步：從下拉菜單中選擇“Basic Auth”。
第二步：要設置請求的授權參數，請輸入您的用戶名和密碼。

第三步：點擊發送按鈕。

由於“Basic auth”使用明文傳遞，目前基本很少使用了。

 e 、Digest Auth

在“Digest Auth”流程中，客戶端向服務器發送請求，服務器返回客戶端的nonce和realm值；客戶端對用戶名、密碼、nonce值、HTTP請求方法、被請求資源URI等組合后進行MD5運算，把計算得到的摘要信息發送給服務端。服務器然后發回客戶端請求的數據。

通過哈希算法對通信雙方身份的認證十分常見，它的好處就是不必把具備密碼的信息對外傳輸，只需將這些密碼信息加入一個對方給定的隨機值計算哈希值，最后將哈希值傳給對方，對方就可以認證你的身份。Digest思想同樣采如此，用了一種nonce隨機數字符串，雙方約好對哪些信息進行哈希運算即可完成雙方身份的驗證。Digest模式避免了密碼在網絡上明文傳輸，提高了安全性，但它仍然存在缺點，例如認證報文被攻擊者攔截到攻擊者可以獲取到資源。

默認情況下，Postman從響應中提取值對應的值。如果不想提取這些值，有以下兩種選擇：

• 在所選字段的高級部分中輸入您自己的值
• 勾選“Yes,disable retrying the request”復選框。

在Postman中使用“Digest Auth”如下圖所示：

f 、OAuth 1.0

OAuth 1.0是一種可以讓我們在不公開密碼的情況下授權使用其他應用程序的授權模式。

在Postman中按照以下步驟使用OAuth 1.0授權：

1. 在Authorization下來授權標簽中選擇“OAuth 1.0”授權模式；
2. 在“Add authorization data to” 下拉選擇框中，選擇對應的請求模式。

當選擇“Request Body/Request URL”時，Postman將檢查請求方法是POST還是PUT，以及請求主體類型是否是x-www-form-urlencoded；如果是這樣，Postman將增加授權參數到請求主體。對於所有其他情況，它會向URL添加授權參數。

實際使用時，需要按照下圖所示填寫對應的參數：

g 、OAuth 2.0

OAuth 2.0作為OAuth 1.0的升級版本。在Postman中按照以下步驟進行使用：

1. 在Authorization下來授權標簽中選擇“OAuth 2.0”授權模式；
2. 在“Add authorization data to”下拉選擇框中，選擇對應的請求模式；
3. 設置請求的授權參數，有以下三個選擇：
   1. 點擊“Get New Access Token”按鈕，在彈出的對話框中輸入對應的參數；單擊“Request Token”按鈕獲取對應的Token。接下來有了對應的Token后，就可以點擊“Send”按鈕發送請求了；
   2. 在“Access Token”輸入框中輸入一個Token，或者Token對應的環境變量，然后就可以點擊“Send”按鈕發送請求了；
   3. 在“Available Tokens”下拉框中選擇已經存在的Token，然后發送請求。

如下圖所示：

h、Hawk Authentication

hawk是一個HTTP認證方案，使用MAC(Message Authentication Code，消息認證碼算法)算法，它提供了對請求進行部分加密驗證的認證HTTP請求的方法，包括HTTP方法、請求URI和主機。

hawk方案要求提供一個共享對稱密匙在服務器與客戶端之間，通常這個共享的憑證在初始TLS保護階段建立的，或者是從客戶端和服務器都可用的其他一些共享機密信息中獲得的。

在Postman中具體使用如下圖所示：