如何建立一个网站根目录,wordpress主题正版,免费网络推广网址,什么是网店一、什么是鉴权#xff1f;
鉴权也就是身份认证#xff0c;就是验证您是否有权限从服务器访问或操作相关数据。发送请求时#xff0c;通常必须包含相应的检验参数以确保请求具有访问权限并返回所需数据。通俗的讲就是一个门禁#xff0c;您想要进入室内#xff0c;必须通…一、什么是鉴权
鉴权也就是身份认证就是验证您是否有权限从服务器访问或操作相关数据。发送请求时通常必须包含相应的检验参数以确保请求具有访问权限并返回所需数据。通俗的讲就是一个门禁您想要进入室内必须通过门禁验证身份这就是鉴权如打开一个网站必须要输入用户名和密码才可以登录进入这种就是鉴权还有一些业务需要登录以后才可以进行因为需要token值则就可以把token添加到鉴权中这种也是鉴权。
二、postman鉴权方式
postman 支持多种鉴权方式如图 Inherit auth from parent从父级继承身份验证是每个请求的默认选择 。这是一个很有用的功能当我们对一个集合(collection)进行测试的时候集合中的每个请求都需要获取token那么如果我们在集合的根目录把token获取到的话那么该集合下的所有请求就会自动获取到token无需任何处理(因为每个请求的Authorization默认选项就是Inherit auto from parent)也就省略了我们对每个token进行处理了
实现步骤
选中一个集合进行编辑切换到Pre-Request Script.在这里请求登录接口 将返回的token值拿到然后保存成全局变量 。切换到Authorization选项卡在这里直接获取token 。这里的获取token需要根据具体的项目 。比如我们所测试的项目正好是Bearer token这种形式 。直接在列表中使用这种方式输入{{token}}即可。向集合添加请求无需进行token处理所有接口都能请求成功 。 Bearer Token 承载令牌一般也叫 Json web token就是发送一个 json 格式的 token 令牌服务端会针对 token 进行解密验证令牌是文本字符串包含在请求标头中。在请求授权选项卡中从类型下拉列表中选择承载令牌。在“ 令牌”字段中输入您的API密钥值或者为了增加安全性将其存储在变量中并按名称引用该变量。如下图 postman会将令牌值以要求的格式附加到请求header的文本“ Bearer”上如下所示 No Auth表示不需要身份认证API key也有很多系统是通过这种认证方式更多的是系统自定义的认证方式比如在请求头添加 model: data xxx-xxx-xxx-xxxx Basic Auth基础验证提供用户名密码验证postman 会自动生成 authorization属于最常用鉴权方式如图在请求授权选项卡中从类型下拉列表中选择基本身份验证在“ 用户名”和“ 密码”字段中输入您的API登录详细信息-为了提高安全性您可以将其存储在变量中如图 在请求标头中您将看到正在向Authorization标头传递一个表示您的用户名和密码值的Base64编码的字符串该字符串附加到文本“ Basic”中如下图所示 Digest Auth摘要式认证。在基本身份认证上面扩展了安全性服务器为每一个连接生成一个唯一的随机数客户端用这个随机数对密码进行 MD5 加密然后返回服务器服务器也用这个随机数对密码进行加密然后和客户端传送过来的加密数据进行比较,如果一致就返回结果他是一个二次验证过程会有两次认证交互消息客户端请求资源-服务器返回认证标示-客户端发送认证信息-服务器查验认证如下图示 Digest Auth下面的高级字段是可选的postman会在请求运行时自动填充它们。 OAuth一般用于第三方身份认证在不公开密码的情况下客户端应用程序可以访问第三方API提供的数据有1,2两个版本需要提供的信息不太一样。也是常用的鉴权方式如下图 OAuth1.0输入必填参数 消费者密钥、消费者密钥值访问令牌和令牌密钥值。Postman会尝试自动完成高级参数填充当前你也可以自己填写
然后可以在左侧的Add authorization data to的下拉列表中选择在请求头、URL还是请求体中传递身份验证详细信息这个身份验证信息数据在哪里传递取决与请求类型一般post或put请求就是添加到body里面如果是get请求就会添加到URL里面 OAuth2.0也可以在左侧的Add authorization data to的下拉列表中选择在请求头还是URL中传递身份验证详细信息 然后在Configure New Token里面配置相关信息得到新令牌需要输入客户端应用程序的详细信息以及服务提供商提供的所有身份验证详细信息 请求新访问令牌的参数是根据Grant Type类型来的Grant Type类型如下 请求新访问令牌的参数的完整列表如下 1令牌名称您要用于令牌的名称。 2授予类型选项的下拉列表-这将取决于API服务提供商的要求。 3回调URL身份验证后重定向到的客户端应用程序回调URL应在API提供程序中注册。如果未提供Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果此方法不适用于您的API则可以使用以下URLhttps://www.getpostman.com/oauth2/callback 4身份验证URL API提供程序授权服务器的端点用于检索身份验证代码。 5访问令牌URL提供商的身份验证服务器用于交换访问令牌的授权代码。 6客户端ID您在API提供商处注册的客户端应用程序的ID。 7客户端机密 API提供商提供给您的客户端机密。 8范围您所请求的访问范围其中可能包含多个以空格分隔的值。 9状态不透明的值以防止跨站点请求伪造。 10客户端身份验证一个下拉列表-在标头中发送基本身份验证请求或在请求正文中发送客户端凭据。升级到新版本后请更改此下拉菜单中的值以避免客户端身份验证出现问题。
配置完成后点击Get New Access Token按钮。如果您成功从API接收到令牌则可以看到其详细信息、到期时间以及可选的刷新令牌当当前令牌过期时您可以使用该令牌来获取新的访问令牌。单击“ Use Token”以选择返回的值。
所有成功获取到的令牌都将在请求“ Available Tokens”下拉列表中列出。选择一个用来发送您的请求。在下拉列表中可以管理所有令牌如查看详细信息或删除令牌。
Hawk Authentication是另一种认证方案采用的叫消息码认证算法和 Digest 认证类似它也是需要二次交互的 Hawk身份验证参数如下 1Hawk身份验证ID您的API身份验证ID值。 2Hawk身份验证密钥您的API身份验证密钥值。 3算法用于创建消息认证码MAC的哈希算法。
高级参数 1用户用户名。 2Nonce客户端生成的随机字符串。 3ext与请求一起发送的任何特定于应用程序的信息。 4app凭据与应用程序之间的绑定以防止攻击者使用发布给他人的凭据。 5dlg颁发证书的应用程序的ID。 6时间戳服务器用来防止在时间窗口之外进行重放攻击的时间戳。
AWS Signature是针对亚马逊的 AWS 公有云用户签名的认证方式NTLM是微软的局域网管理认证协议Akamai EdgeGrid是 Akamai 的专属认证协议
最常用的两种鉴权方式为Basic 以及 OAuth2
感谢每一个认真阅读我文章的人礼尚往来总是要有的虽然不是什么很值钱的东西如果你用得到的话可以直接拿走
这些资料对于【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴上万个测试工程师们走过最艰难的路程希望也能帮助到你!有需要的小伙伴可以点击下方小卡片领取
