51Testing软件测试论坛

标题: postman的多种方式笔者带你一一了解。NO2 [打印本页]

作者: 草帽路飞UU 时间: 2022-8-15 15:56
标题: postman的多种方式笔者带你一一了解。NO2
· OAuth：一般用于第三方身份认证，在不公开密码的情况下客户端应用程序可以访问第三方API提供的数据，有1,2两个版本，需要提供的信息不太一样。也是常用的鉴权方式，如下图：[attach]141211[/attach]
OAuth1.0：输入必填参数消费者密钥、消费者密钥值，访问令牌和令牌密钥值。Postman会尝试自动完成高级参数填充，当前你也可以自己填写。
　　[attach]141213[/attach]
然后可以在左侧的Add authorization data to的下拉列表中选择在请求头、URL还是请求体中传递身份验证详细信息，这个身份验证信息数据在哪里传递取决与请求类型，一般post或put请求就是添加到

body里面，如果是get请求就会添加到URL里面。
　OAuth2.0：也可以在左侧的Add authorization data to的下拉列表中选择在请求头还是URL中传递身份验证详细信息。
[attach]141216[/attach]

[attach]141220[/attach]

然后在Configure New Token里面配置相关信息得到新令牌，需要输入客户端应用程序的详细信息，以及服务提供商提供的所有身份验证详细信息。
请求新访问令牌的参数是根据Grant Type类型来的：Grant Type类型如下：
[attach]141222[/attach]
请求新访问令牌的参数的完整列表如下：
　　1）令牌名称：您要用于令牌的名称。
　　2）授予类型：选项的下拉列表-这将取决于API服务提供商的要求。
　　3）回调URL：身份验证后重定向到的客户端应用程序回调URL，应在API提供程序中注册。如果未提供，Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果此方法不适用于您的API，则可以使用以下URL：https://www.getpostman.com/oauth2/callback
　　4）身份验证URL： API提供程序授权服务器的端点，用于检索身份验证代码。
　　5）访问令牌URL：提供商的身份验证服务器，用于交换访问令牌的授权代码。
　　6）客户端ID：您在API提供商处注册的客户端应用程序的ID。
　　7）客户端机密： API提供商提供给您的客户端机密。
　　8）范围：您所请求的访问范围，其中可能包含多个以空格分隔的值。
　　9）状态：不透明的值，以防止跨站点请求伪造。
　　10）客户端身份验证：一个下拉列表-在标头中发送基本身份验证请求，或在请求正文中发送客户端凭据。升级到新版本后，请更改此下拉菜单中的值，以避免客户端身份验证出现问题。
　　配置完成后，点击Get New Access Token按钮。如果您成功从API接收到令牌，则可以看到其详细信息、到期时间以及可选的刷新令牌，当当前令牌过期时，您可以使用该令牌来获取新的访问令牌。单击“ Use Token”以选择返回的值。
　　所有成功获取到的令牌都将在请求“ Available Tokens”下拉列表中列出。选择一个用来发送您的请求。在下拉列表中可以管理所有令牌，如查看详细信息或删除令牌。
　　[attach]141225[/attach]

· Hawk Authentication：是另一种认证方案，采用的叫消息码认证算法，和 Digest 认证类似，它也是需要二次交互的。
Hawk身份验证参数如下：
　　1）Hawk身份验证ID：您的API身份验证ID值。
　　2）Hawk身份验证密钥：您的API身份验证密钥值。
　　3）算法：用于创建消息认证码（MAC）的哈希算法。
　　高级参数：
　　1）用户：用户名。
　　2）Nonce：客户端生成的随机字符串。
　　3）ext：与请求一起发送的任何特定于应用程序的信息。
　　4）app：凭据与应用程序之间的绑定，以防止攻击者使用发布给他人的凭据。
　　5）dlg：颁发证书的应用程序的ID。
　　6）时间戳：服务器用来防止在时间窗口之外进行重放攻击的时间戳。
　　· AWS Signature：是针对[url=]亚马逊[/url]的 AWS 公有云用户签名的认证方式
　　· NTLM：是微软的局域网管理认证协议
　　· Akamai EdgeGrid：是 Akamai 的专属认证协议
　　最常用的两种鉴权方式为：Basic 以及 OAuth2

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)