因為HTTP協議是開放的,可以任人調用。所以,如果接口不希望被隨意調用,就需要做訪問權限的控制,認證是好的用戶,才允許調用API。
目前主流的訪問權限控制/認證模式有以下幾種:
1)Bearer Token(Token 令牌)
定義:為了驗證使用者的身份,需要客戶端向服務器端提供一個可靠的驗證信息,稱為Token,這個token通常由Json數據格式組成,通過hash散列算法生成一個字符串,所以稱為Json Web Token(Json表示令牌的原始值是一個Json格式的數據,web表示是在互聯網傳播的,token表示令牌,簡稱JWT)
JWT分為三部分:頭部、Claim正文部分、簽名
1)令牌的好處:避免在使用中不斷的輸入賬號和密碼,比較安全
2)如果要測試帶token的接口,首先要進行登錄,登錄成功會有個token信息,向api接口發送請求的時候必須帶上這個token,故需要做2次請求(1,登錄,拿到token 2,正式對接口進行測試)
3)注意點:
(1)token一般有時間限制。測試前需要跟開發確認token可以用多久,什么時候算token失效;
(2)token放在哪兒,怎么傳回去,需要有開發文檔,或者咨詢開發,登錄成功返回的token需要了解從什么地方獲取(可以通過錄制進行查看);