授权过程就是验证我们是否有权限从服务器访问所需的数据。发送请求时,通常必须包含参数以确保请求有权访问并返回所需的数据。Postman提供的授权类型可以让我们轻松处理Postman进行接口测试中的身份验证协议。
在Postman中,提供了以下的几种授权:
- Inherit auth from parent---从父继承授权
- No Auth---无授权
- Bearer Token---安全令牌
- Basic auth---基本身份验证
- Digest Auth---摘要身份验证
- OAuth 1.0
- OAuth 2.0
- Hawk Authentication
- AWS Signature
- NTLM Authentication [Beta]
“从父继承授权”设置表示默认情况下此文件夹中的每个请求都使用来自父级的授权类型。在这个例子中,集合使用“No Auth”,因此该文件夹使用“No Auth”,表示该文件夹中的所有请求都将使用“No Auth”。
如果我们想要将父集合授权类型设置为“No Auth”,而该集合下的文件夹授权类型需要设置成与集合不一样,该怎么办?我们需要编辑文件夹的详细信息,从TYPE下拉列表中选择“Basic Auth”,然后输入对应的凭证。此后,此文件夹中的每个请求都依赖于“Basic Auth”,而父集合中的其余请求仍不使用任何授权。
“Bearer Token”是一个安全令牌。任何用户都可以使用它来访问数据资源,而无需使用加密密钥。下面来说说如何在Postman中如何使用“Bearer Token”:
- 在授权标签中,从TYPE下拉菜单中选择“Bearer Token”;
- 根据提示设置请求的授权参数,输入令牌的值;
- 点击发送按钮。
Basic auth
Digest Auth
在“Digest Auth”流程中,客户端向服务器发送请求,服务器返回客户端的nonce和realm值;客户端对用户名、密码、nonce值、HTTP请求方法、被请求资源URI等组合后进行MD5运算,把计算得到的摘要信息发送给服务端。服务器然后发回客户端请求的数据。
通过哈希算法对通信双方身份的认证十分常见,它的好处就是不必把具备密码的信息对外传输,只需将这些密码信息加入一个对方给定的随机值计算哈希值,最后将哈希值传给对方,对方就可以认证你的身份。Digest思想同样采如此,用了一种nonce随机数字符串,双方约好对哪些信息进行哈希运算即可完成双方身份的验证。Digest模式避免了密码在网络上明文传输,提高了安全性,但它仍然存在缺点,例如认证报文被攻击者拦截到攻击者可以获取到资源。
默认情况下,Postman从响应中提取值对应的值。如果不想提取这些值,有以下两种选择:
- 在所选字段的高级部分中输入您自己的值
- 勾选“Yes,disable retrying the request”复选框。