· OAuth:一般用于第三方身份认证,在不公开密码的情况下客户端应用程序可以访问第三方API提供的数据,有1,2两个版本,需要提供的信息不太一样。也是常用的鉴权方式,如下图:
OAuth1.0:输入必填参数 消费者密钥、消费者密钥值,访问令牌和令牌密钥值。Postman会尝试自动完成高级参数填充,当前你也可以自己填写。
然后可以在左侧的Add authorization data to的下拉列表中选择在请求头、URL还是请求体中传递身份验证详细信息,这个身份验证信息数据在哪里传递取决与请求类型,一般post或put请求就是添加到body里面,如果是get请求就会添加到URL里面。
OAuth2.0:也可以在左侧的Add authorization data to的下拉列表中选择在请求头还是URL中传递身份验证详细信息。
然后在Configure New Token里面配置相关信息得到新令牌,需要输入客户端应用程序的详细信息,以及服务提供商提供的所有身份验证详细信息。
请求新访问令牌的参数是根据Grant Type类型来的:Grant Type类型如下:
请求新访问令牌的参数的完整列表如下:
1)令牌名称:您要用于令牌的名称。
2)授予类型:选项的下拉列表-这将取决于API服务提供商的要求。
3)回调URL:身份验证后重定向到的客户端应用程序回调URL,应在API提供程序中注册。如果未提供,Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果此方法不适用于您的API,则可以使用以下URL:https://www.getpostman.com/oauth2/callback
4)身份验证URL: API提供程序授权服务器的端点,用于检索身份验证代码。
5)访问令牌URL:提供商的身份验证服务器,用于交换访问令牌的授权代码。
6)客户端ID:您在API提供商处注册的客户端应用程序的ID。
7)客户端机密: API提供商提供给您的客户端机密。
8)范围:您所请求的访问范围,其中可能包含多个以空格分隔的值。
9)状态:不透明的值,以防止跨站点请求伪造。
10)客户端身份验证:一个下拉列表-在标头中发送基本身份验证请求,或在请求正文中发送客户端凭据。升级到新版本后,请更改此下拉菜单中的值,以避免客户端身份验证出现问题。
配置完成后,点击Get New Access Token按钮。如果您成功从API接收到令牌,则可以看到其详细信息、到期时间以及可选的刷新令牌,当当前令牌过期时,您可以使用该令牌来获取新的访问令牌。单击“ Use Token”以选择返回的值。
所有成功获取到的令牌都将在请求“ Available Tokens”下拉列表中列出。选择一个用来发送您的请求。在下拉列表中可以管理所有令牌,如查看详细信息或删除令牌。
· Hawk Authentication:是另一种认证方案,采用的叫消息码认证算法,和 Digest 认证类似,它也是需要二次交互的。
Hawk身份验证参数如下:
1)Hawk身份验证ID:您的API身份验证ID值。
2)Hawk身份验证密钥:您的API身份验证密钥值。
3)算法:用于创建消息认证码(MAC)的哈希算法。
高级参数:
1)用户:用户名。
2)Nonce:客户端生成的随机字符串。
3)ext:与请求一起发送的任何特定于应用程序的信息。
4)app:凭据与应用程序之间的绑定,以防止攻击者使用发布给他人的凭据。
5)dlg:颁发证书的应用程序的ID。
6)时间戳:服务器用来防止在时间窗口之外进行重放攻击的时间戳。
· AWS Signature:是针对亚马逊的 AWS 公有云用户签名的认证方式
· NTLM:是微软的局域网管理认证协议
· Akamai EdgeGrid:是 Akamai 的专属认证协议
最常用的两种鉴权方式为:Basic 以及 OAuth2
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
