授权过程将验证您是否有权从服务器访问所需的数据。发送请求时,通常必须包含参数以确保请求具有访问权限并返回所需数据。Postman提供的授权类型使您可以轻松处理Postman本机应用程序中的身份验证协议。
在请求构建器中选择“授权”时,您会看到TYPE下拉菜单。
- 从父级继承auth
- 没有Auth
- 持票人令牌
- 基本认证
- 摘要认证
- OAuth 1.0
- OAuth 2.0
- Hawk身份验证
- AWS签名
- NTLM身份验证[Beta]
注意:NTLM和Bearer令牌仅适用于Postman本机应用程序。Postman原生应用和Chrome应用中提供了所有其他授权类型。请注意,Postman Chrome应用程序已被弃用。
您可以将环境,集合或全局变量与所有授权类型一起使用。除了在Postman应用程序中使用它们之外,您还可以将这些授权类型与Newman或Postman监视器一起使用。
邮递员不保存标题数据和查询参数以防止向公众公开敏感数据,例如API密钥。
如果要检查Postman生成的授权标头和参数,请单击“预览请求”按钮。
注意:发送后,您可以在Postman控制台中检查整个请求的原始转储。
从父级继承auth
将授权添加到集合或文件夹
假设您将一个文件夹添加到集合中。在“授权”选项卡下,默认授权类型设置为“从父级继承身份验证”。
“从父级继承auth”设置表示默认情况下此文件夹中的每个请求都使用父级的授权类型。在此示例中,集合使用“No Auth”,因此该文件夹使用“No Auth”,这意味着该文件夹中的所有请求都将使用“No Auth”。
如果要将父集合授权类型保留为“No Auth”,但更新此特定文件夹的授权助手,该怎么办?您可以编辑文件夹详细信息,从TYPE下拉列表中选择“Basic Auth”,然后输入您的凭据。因此,此文件夹中的每个请求都依赖于“Basic Auth”,而父集合中的其余请求仍然不使用任何授权。
同样,如果要更新此文件夹中单个请求的授权,则只需为该请求选择不同的授权类型即可。
如果您有一组所有需要相同授权的请求,您可以为集合或文件夹中的所有请求定义授权,或者仅为每个请求单独定义授权。如果创建新集合或文件夹,则父元素中的每个后续请求都将继承授权定义,除非用户明确选择其他类型。
要更新集合或文件夹授权,请单击集合或文件夹名称旁边的省略号(...),然后选择“编辑”以打开模式。选择“授权”选项卡,从“类型”下拉列表中选择授权类型。您还可以在最初创建集合时添加集合授权。
例如,如果使用“Basic Auth”创建集合,则集合中的每个请求都将使用相同的授权帮助程序。如果您希望集合中的特定请求使用不同的授权或根本不授权,请使用“授权”选项卡下的“类型”下拉列表来定义特定请求的授权帮助程序。
没有Auth
默认情况下,下拉菜单列表中首先显示“No Auth”。当您不需要授权参数来发送请求时,请使用“No Auth”。
持票人令牌
承载令牌是安全令牌。具有承载令牌的任何用户都可以使用它来访问数据资源而无需使用加密密钥。
要使用持票人令牌:
- 在“授权”选项卡中,从“类型”下拉菜单中选择“承载令牌”。
- 要为请求设置授权参数,请输入令牌的值。
- 单击“发送”按钮。
基本认证
Basic Auth是一种授权类型,需要经过验证的用户名和密码才能访问数据资源。
要使用Basic Auth:
- 在“授权”选项卡中,从“类型”下拉菜单中选择“基本身份验证”。
- 要为请求设置授权参数,请输入您的用户名和密码。
- 单击“发送”按钮。
摘要认证
在摘要认证流程中,客户端向服务器发送请求,该服务器发回nonce和realm值以供客户端进行认证。客户端使用nonce和realm发回一个哈希的用户名和密码。然后,服务器发回所请求的数据。
默认情况下,Postman从响应中提取值。如果您不想提取这些值,则有两种选择:
- 在所选字段的高级部分中输入您自己的值,或
- 选中“是,禁用重试请求”复选框以跳过重试请求。
要使用摘要身份验证:
- 在“授权”选项卡中,从“类型”下拉菜单中选择“摘要验证”。
- 要为请求设置授权参数,请输入您的用户名和密码。(您还可以设置高级摘要身份验证参数。)
- 单击“发送”按钮。
该表描述了Digest Auth的高级参数。高级配置设置是可选的。如果留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| 领域 | 服务器在www-Authenticate响应头中指定的字符串。 |
| 杜撰 | 服务器在www-Authenticate响应头中指定的唯一字符串。 |
| 算法 | 一个字符串,指示用于生成摘要和校验和的一对算法。 |
| QOP | 应用于消息的保护质量。该值必须是服务器在www-Authenticate响应头中指定的备选方案之一。 |
| Nonce Count | 客户端在此请求中使用nonce值发送的请求数(包括当前请求)的十六进制计数。如果发送了qop指令,则必须指定count,如果服务器未在www-Authenticate响应头中发送qop指令,则不能指定count。邮递员总是发送00000001作为随机数。 |
| 客户现时 | 由客户端提供并由客户端和服务器使用的不透明引用字符串,以避免选择明文攻击以提供相互身份验证并提供一些消息完整性保护。如果发送了qop指令,则必须指定count,如果服务器未在www-Authenticate响应头中发送qop指令,则不能指定count。 |
| 不透明 | 这是服务器在www-Authenticate响应头中指定的一串数据,这里应该使用相同保护空间中的URL保持不变。我们建议此字符串为base64编码数据。 |
OAuth 1.0
OAuth 1.0是一种授权类型,使您可以批准与您联系其他应用程序的应用程序,而不会泄露您的密码。
要使用OAuth 1.0授权:
- 在“授权”标签中,从“类型”下拉菜单中选择“OAuth 1.0”。
- 从“添加授权数据到”下拉菜单中,选择“请求正文/请求URL”或“请求标题”。
当您选择“请求正文/请求URL”时,邮递员会检查请求方法是POST还是PUT,以及请求正文类型是否为x-www-form-urlencoded。如果是这样,Postman将授权参数添加到请求正文。对于所有其他情况,它会将授权参数添加到URL。
- 要设置请求的授权参数,请输入“使用者密钥”,“消费者密钥”,“访问令牌”和“令牌密钥”。您还可以设置高级摘要OAuth 1.0参数。
此表描述了OAuth 1.0授权的参数。
| 参数 | 描述 |
|---|---|
| 消费者密钥 | 消费者的价值,用于向服务提供商标识自己。 |
| 消费者秘密 | 建立消费者密钥所有权的消费者秘密。 |
| 访问令牌 | 包含安全标识的对象。 |
|高级参数|签名方法|消费者的秘密,用于建立给定令牌的所有权。||时间戳|服务器用于防止时间窗口之外的重放攻击的时间戳。||Nonce |服务器在www-Authenticate响应头中指定的唯一字符串|版本| OAuth身份验证协议的1.0版本|领域|服务器在www-Authenticate响应头中指定的字符串。|
注意:OAuth 1.0的某些实现需要将空参数添加到签名中。您可以选择“将空参数添加到签名”以添加空参数。
OAuth 2.0
OAuth 2.0是一种授权类型,使您可以批准与您联系其他应用程序的应用程序,而不会泄露您的密码。
要使用OAuth 2.0授权:
- 在“授权”标签中,从“类型”下拉菜单中选择“OAuth 2.0”。
- 从“添加授权数据到”下拉菜单中,选择“请求URL”或“请求标头”。
要为请求设置授权参数,您有三个选项:
- 单击“获取新访问令牌”按钮。在获得新的访问令牌画面出现。输入适当的值,单击“请求令牌”按钮以填充“访问令牌”字段,然后单击“发送”按钮。
- 在“访问令牌”字段中,输入令牌或环境定义变量,然后单击“发送”按钮。
- 在“可用标记”下拉菜单中,选择现有标记,然后单击“发送”按钮。
此表描述了GET NEW ACCESS TOKEN屏幕中的参数。
| 参数 | 描述 |
|---|---|
| 令牌名称 | 令牌的名称。 |
| 拨款类型 | 一个下拉菜单,您可以在其中指定以下授权类型之一:“授权代码”,“隐式”,“密码凭据”和“客户端凭据”。 |
| 回调网址 | 应用程序的回调URL已在服务器中注册。如果未提供,Postman使用默认的空URL并从中提取代码或访问令牌。 |
| 验证URL | 授权服务器的端点,用于检索授权代码。 |
| 访问令牌URL | 资源服务器的端点,用于交换访问令牌的授权代码。 |
| 客户ID | 在应用程序注册过程中提供给客户端的客户端标识符。 |
| 客户秘密 | 在应用程序注册过程中向客户端提供的客户机密。 |
| 范围 | 访问请求的范围,可能有多个以空格分隔的值。 |
| 州 | 一个不透明的值,可防止跨站点请求伪造。 |
| 客户认证 | 一个下拉菜单,您可以在标题中发送基本身份验证请求,也可以在请求正文中发送客户端凭据。注意:升级到新版本后,请更改此下拉菜单中的值以避免客户端身份验证出现问题。 |
您可以单击列表中的“管理令牌”以查看有关每个令牌的更多详细信息,并删除其中任何一个令牌。如果列表中没有令牌,则用户需要单击“获取新访问令牌”按钮以生成Postman添加到列表中的令牌。
注意:删除令牌不会撤消访问令牌。只有颁发令牌的服务器才能撤消它。
Hawk身份验证
Hawk身份验证使您可以使用请求的部分加密验证来进行经过身份验证的请求。
要使用Hawk身份验证:
- 在“授权”选项卡中,从“类型”下拉菜单中选择“Hawk身份验证”。
- 要设置请求的授权参数,请输入“Hawk Auth ID”,“Hawk Auth Key”和“Algorithm values”。您还可以设置高级Hawk身份验证参数。
- 单击“发送”按钮。
该表描述了Hawk身份验证的参数。
| 参数 | 描述 |
|---|---|
| Hawk Auth ID | 身份验证ID值。 |
| Hawk Auth Key | 身份验证密钥值。 |
| 算法 | 用于创建消息认证码(MAC)的哈希算法。 |
此表描述了Hawk身份验证的高级参数。高级配置设置是可选的。如果留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| 用户 | 用户名。 |
| 杜撰 | 从客户端生成的随机字符串。 |
| EXT | 随请求一起发送的任何特定于应用程序的信息。 |
| 应用 | 凭据和应用程序之间的绑定,以防止攻击者欺骗应用程序使用颁发给其他人的凭据。 |
| DLG | 直接颁发凭据的应用程序的ID。 |
| 时间戳 | 服务器用于防止时间窗口之外的重放攻击的时间戳。 |
注意:高级配置设置是可选的。如果留空,邮递员自动会为某些字段生成值。
Amazon Web Services(AWS)身份验证
AWS是Amazon Work Services请求的授权工作流程。AWS用户必须使用基于密钥HMAC(哈希消息身份验证代码)的自定义HTTP方案进行身份验证。邮差支持这个计划。
阅读有关AWS文档上的AWS签名的更多信息:
- 签名和验证REST请求
- 使用Postman调用API
要使用AWS身份验证:
- 在“授权”选项卡中,从“类型”下拉菜单中选择“AWS签名”。
- 要为请求设置授权参数,请输入访问密钥和密钥的值。您还可以设置高级AWS身份验证参数。
- 单击“发送”按钮。
此表描述了AWS身份验证的高级参数。高级配置设置是可选的。如果留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| AWS区域 | 接收请求的区域。(默认区域为us-east-1。) |
| 服务名称 | 接收请求的服务。 |
| 会话令牌 | 仅在使用临时安全证书时才需要。 |
NTLM身份验证
Windows质询/响应(NTLM)是Windows操作系统和独立系统的授权流程。默认情况下,Postman从收到的响应中提取值,将其添加到请求中,然后重试。邮递员为您提供禁用此默认行为的选项。
要使用NTLM身份验证:
- 在“授权”选项卡中,从“类型”下拉菜单中选择“NTLM身份验证”。
- 要为请求设置授权参数,请输入用户名和密码。您还可以设置高级NTLM身份验证参数。
- 单击“发送”按钮。
此表描述了NTLM身份验证的高级参数。高级配置设置是可选的。如果留空,邮递员会自动为某些字段生成值。
| 高级参数 | 描述 |
|---|---|
| 域 | 要进行身份验证的域或主机。 |
| 工作站 | PC的主机名。 |
