授權設定

很多時候，出於安全考慮我們的介面並不希望對外公開。這個時候就需要使用授權(Authorization)機制 授權過程 驗證您是否具有訪問伺服器所需資料的許可權。 當您傳送請求時，您通常必須包含引數，以確保請求具有訪問和返 回所需資料的許可權。 Postman 提供授權型別，可以輕鬆地在 Postman 本地應用程式中處理身份驗證協議。 Postman 支援的授權協議型別如下： 　　• No Auth• Bearer Token 　　• Basic auth 　　• Digest Auth 　　• OAuth 1.0 　　• OAuth 2.0 　　• Hawk Authentication

　　• AWS Signature 　　• NTLM Authentication [Beta] 這裡主要介紹以上加粗的授權協議的使用。 Basic auth 基本身份驗證是一種比較簡單的授權型別，需要經過驗證的使用者名稱和密碼才能訪問資料資源。這就需要我們輸入用 戶名和對應的密碼。 案例：請求 URL 如下，授權賬號為： 　　• 使用者名稱: postman 　　• 密碼: password 　　• 授權協議為：Basic auth https://postman-echo.com/basic-auth • 如果不輸入使用者名稱密碼，直接使用 GET 請求，則會返回提示：Unauthorized 輸入使用者名稱密碼，選擇 Basic auth 授權型別，則返回如下結果：

Digest Auth Digest auth 是一個簡單的認證機制，最初是為 HTTP 協議開發的，因此也常叫做 HTTP 摘要。其身份驗證機制非 常簡單，它採用雜湊加密方法，以避免用明文傳輸使用者的口令。摘要認證就是要核實參與通訊的兩方都知道雙方共 享的一個口令。 當 server 想要查證使用者的身份，它產生一個摘要盤問（digest challenge），併發送給使用者。典型的摘要盤問例如 以下： realm（領域）：領域引數是強制的，在全部的盤問中都必須有。它是目的是鑑別 SIP 訊息中的機密。在 SIP 實際 應用中，它通常設定為 SIP 代理 server 所負責的域名。 nonce（現時）：這是由 server 規定的資料字串，在 server 每次產生一個摘要盤問時，這個引數都是不一樣的 （與前面所產生的不會雷同）。“現時”一般是由一些資料通過 md5 雜湊運算構造的。 這種資料通常包含時間標 識和 server 的機密短語。這確保每一個“現時”都有一個有限的生命期（也就是過了一些時間後會失效，並且以 後再也不會使用），並且是獨一無二的 （即不論什麼其他的 server 都不能產生一個同樣的“現時”）。 algorithm（演算法）：這是用來計算的演算法。當前僅僅支援 MD5 演算法。 qop（保護的質量）：這個引數規定 server 支援哪種保護方案。client 能夠從列表中選擇一個。值 auth 表示僅僅 進行身份查驗， auth-int 表示進行查驗外，另一些完整性保護。須要看更具體的描寫敘述，請參閱 RFC2617。 案例 請求 URL 如下

https://postman-echo.com/digest-auth

摘牌配置資訊如下：使用者名稱密碼和上面 basic auth 一樣

Digest username="postman", realm="Users", nonce="ni1LiL0O37PRRhofWdCLmwFsnEtH1lew", uri="/digest-auth",
response="254679099562cf07df9b6f5d8d15db44", opaque=""