005、Postman接口授权设置(1)
授权设置
很多时候,出于安全考虑我们的接口并不希望对外公开。这个时候就需要使用授权(Authorization)机制 授权过程
验证您是否具有访问服务器所需数据的权限。 当您发送请求时,您通常必须包含参数,以确保请求具有访问和返
回所需数据的权限。 Postman 提供授权类型,可以轻松地在 Postman 本地应用程序中处理身份验证协议。
Postman 支持的授权协议类型如下:
• No Auth• Bearer Token
• Basic auth
• Digest Auth
• OAuth 1.0
• OAuth 2.0
• Hawk Authentication
• AWS Signature
• NTLM Authentication [Beta]
这里主要介绍以上加粗的授权协议的使用。
Basic auth
基本身份验证是一种比较简单的授权类型,需要经过验证的用户名和密码才能访问数据资源。这就需要我们输入用 户名和对应的密码。
案例:请求 URL 如下,授权账号为:
• 用户名: postman
• 密码: password
• 授权协议为:Basic auth
https://postman-echo.com/basic-auth
• 如果不输入用户名密码,直接使用 GET 请求,则会返回提示:Unauthorized
输入用户名密码,选择 Basic auth 授权类型,则返回如下结果:
Digest Auth
Digest auth 是一个简单的认证机制,最初是为 HTTP 协议开发的,因此也常叫做 HTTP 摘要。其身份验证机制非
常简单,它采用哈希加密方法,以避免用明文传输用户的口令。摘要认证就是要核实參与通信的两方都知道双方共
享的一个口令。
当 server 想要查证用户的身份,它产生一个摘要盘问(digest challenge),并发送给用户。典型的摘要盘问例如
以下:
realm(领域):领域參数是强制的,在全部的盘问中都必须有。它是目的是鉴别 SIP 消息中的机密。在 SIP 实际
应用中,它通常设置为 SIP 代理 server 所负责的域名。
nonce(现时):这是由 server 规定的数据字符串,在 server 每次产生一个摘要盘问时,这个參数都是不一样的
(与前面所产生的不会雷同)。“现时”一般是由一些数据通过 md5 杂凑运算构造的。 这种数据通常包含时间标
识和 server 的机密短语。这确保每一个“现时”都有一个有限的生命期(也就是过了一些时间后会失效,并且以
后再也不会使用),并且是独一无二的 (即不论什么其他的 server 都不能产生一个同样的“现时”)。
algorithm(算法):这是用来计算的算法。当前仅仅支持 MD5 算法。
qop(保护的质量):这个參数规定 server 支持哪种保护方案。client 能够从列表中选择一个。值 auth 表示仅仅
进行身份查验, auth-int 表示进行查验外,另一些完整性保护。须要看更具体的描写叙述,请參阅 RFC2617。
案例
请求 URL 如下
https://postman-echo.com/digest-auth
摘牌配置信息如下:用户名密码和上面 basic auth 一样
Digest username="postman", realm="Users", nonce="ni1LiL0O37PRRhofWdCLmwFsnEtH1lew", uri="/digest-auth", response="254679099562cf07df9b6f5d8d15db44", opaque=""