005、Postman接口授权设置（1）

 

授权设置

很多时候，出于安全考虑我们的接口并不希望对外公开。这个时候就需要使用授权(Authorization)机制 授权过程

验证您是否具有访问服务器所需数据的权限。 当您发送请求时，您通常必须包含参数，以确保请求具有访问和返

回所需数据的权限。 Postman 提供授权类型，可以轻松地在 Postman 本地应用程序中处理身份验证协议。

 

Postman 支持的授权协议类型如下：

　　• No Auth• Bearer Token

　　• Basic auth

　　• Digest Auth

　　• OAuth 1.0

　　• OAuth 2.0

　　• Hawk Authentication

　　• AWS Signature

　　• NTLM Authentication [Beta]

这里主要介绍以上加粗的授权协议的使用。

 

Basic auth

基本身份验证是一种比较简单的授权类型，需要经过验证的用户名和密码才能访问数据资源。这就需要我们输入用 户名和对应的密码。

案例：请求 URL 如下，授权账号为：

　　• 用户名: postman

　　• 密码: password

　　• 授权协议为：Basic auth

 

 

https://postman-echo.com/basic-auth

• 如果不输入用户名密码，直接使用 GET 请求，则会返回提示：Unauthorized

 

输入用户名密码，选择 Basic auth 授权类型，则返回如下结果：

 

Digest Auth

Digest auth 是一个简单的认证机制，最初是为 HTTP 协议开发的，因此也常叫做 HTTP 摘要。其身份验证机制非

常简单，它采用哈希加密方法，以避免用明文传输用户的口令。摘要认证就是要核实參与通信的两方都知道双方共

享的一个口令。

当 server 想要查证用户的身份，它产生一个摘要盘问（digest challenge），并发送给用户。典型的摘要盘问例如

以下：

realm（领域）：领域參数是强制的，在全部的盘问中都必须有。它是目的是鉴别 SIP 消息中的机密。在 SIP 实际

应用中，它通常设置为 SIP 代理 server 所负责的域名。

nonce（现时）：这是由 server 规定的数据字符串，在 server 每次产生一个摘要盘问时，这个參数都是不一样的

（与前面所产生的不会雷同）。“现时”一般是由一些数据通过 md5 杂凑运算构造的。 这种数据通常包含时间标

识和 server 的机密短语。这确保每一个“现时”都有一个有限的生命期（也就是过了一些时间后会失效，并且以

后再也不会使用），并且是独一无二的 （即不论什么其他的 server 都不能产生一个同样的“现时”）。

algorithm（算法）：这是用来计算的算法。当前仅仅支持 MD5 算法。

qop（保护的质量）：这个參数规定 server 支持哪种保护方案。client 能够从列表中选择一个。值 auth 表示仅仅

进行身份查验， auth-int 表示进行查验外，另一些完整性保护。须要看更具体的描写叙述，请參阅 RFC2617。

 

案例

请求 URL 如下

https://postman-echo.com/digest-auth

摘牌配置信息如下：用户名密码和上面 basic auth 一样

Digest username="postman", realm="Users", nonce="ni1LiL0O37PRRhofWdCLmwFsnEtH1lew", uri="/digest-auth",
response="254679099562cf07df9b6f5d8d15db44", opaque=""