postman认证使用篇(五)

最新推荐文章于 2024-05-02 07:15:00 发布
最新推荐文章于 2024-05-02 07:15:00 发布
阅读量685 收藏 1
点赞数
文章标签: postman java
原文链接:https://segmentfault.com/a/1190000012056247
版权

postman 认证使用篇(五)

Authorization

尽管请求编辑器已经足够强大去构造各种各样的请求,但是有的时候你的请求可能是需要认证,那么就可以尝试使用下面的认证功能了(由于认证的参数信息属于敏感数据,为了保证在协作环境中工作时数据的安全,建议使用变量)

图片描述

下面分别说明下拉选项中的认证方式:

No Auth

不需要认证,这是默认选中的

Bearer Auth

图片描述

填写Token进行验证,JWT中有使用

Basic Auth 基础身份验证

图片描述

输入用户名和密码,直接发送明文数据,在点击Preview Request按钮就会自动在Headers中生成authorization header.

或者直接发送请求,也会自动把authorizationheader 添加到 Headers
图片描述

Digest Auth 摘要认证

消息摘要式身份认证是在基本身份认证上面扩展了安全性,服务器为每一个连接生成一个唯一的随机数,客户端用这个随机数对密码进行MD5加密,然后返回服务器,服务器也用这个随机数对密码进行加密,然后和客户端传送过来的加密数据进行比较,如果一致就返回结果
客户端请求资源->服务器返回认证标示->客户端发送认证信息->服务器查验认证
图片描述

过程:

  1. 发送一个请求

        GET /auth/basic/ HTTP/1.1
    HOST: target

  2. 服务器返回401响应头,要求输入用户凭据

        HTTP/1.1 401 Unauthorized
    WWW-Authenticate: Digest realm="Digest Encrypt",nonce="nmeEHKLeBAA=aa6ac7ab3cae8f1b73b04e1e3048179777a174b3", opaque="0000000000000000",stale=false, algorithm=MD5, qop="auth"

  3. 输入凭据后再发送请求

        GET /auth/digest/ HTTP/1.1
    Accept: */*
    Authorization:  Digest username="LengWa", realm="Digest Encrypt",  qop="auth", algorithm="MD5", uri="/auth/digest/", nonce="nmeEHKLeBAA=aa6ac7ab3cae8f1b73b04e1e3048179777a174b3", nc=00000001, cnonce="6092d3a53e37bb44b3a6e0159974108b", opaque="0000000000000000", response="652b2f336aeb085d8dd9d887848c3314"

  4. 服务端验证通过后返回数据

返回401请求头时,对于WWW-Authenticate 各个域的作用:

  • realm: 是一个简单的字符串,一般是是邮件格式

  • qop: 是认证的(校验)方式,这个比较重要,对后面md5的加密过程有影响

  • nonce: 是一个字符串,唯一的、不重复的(还可以包含一些有用的信息,进行验证)

  • opaque: 是个字符串,它只是透传而已,即客户端还会原样返回过来

  • username: 用户认证的用户名

  • uri: 本次资源的位置

  • cnonce: 客户端随机参数的GUID

  • nc: 是认证的次数,因为如果认证失败,则仍然可以重新发送认证信息继续认证

  • response: 这个值很重要,是根据以上信息加上密码根据一定的顺序加密生成的MD5值,服务端在收到这个信息后,也根据相同的方式计算出这个值,而密码保存在服务端。服务端根据用户名去找密码,计算出MD5值,如果和客户端传过来一致,就认证通过,否则不通过

OAuth 1.0 / OAuth 2.0

现在大多数授权登录都是基于 OAuth 2.0

这两种认证方式,就不具体介绍了。网上讲解的比较多

不了解的可以看看这个文档:理解OAuth

Hawk authentication

图片描述

hawk是一个HTTP认证方案,使用MAC(Message Authentication Code,消息认证码算法)算法,它提供了对请求进行部分加密验证的认证HTTP请求的方法,包括HTTP方法、请求URI和主机。

hawk方案要求提供一个共享对称密匙在服务器与客户端之间,通常这个共享的凭证在初始TLS保护阶段建立的,或者是从客户端和服务器都可用的其他一些共享机密信息中获得的

举例过程:

  1. 发起一个资源请求

    GET /resource/1?b=1&a=2 HTTP/1.1
Host: 127.0.0.1:8000

  2. 服务器返回401响应头

    HTTP/1.1 401 Unauthorized
WWW-Authenticate: Hawk

  3. 客户端之前已经获取一组Hawk访问资源的资格证书在对应的服务器上资格证书包含以下的属性:

    Key identifier(Hawk Auth ID): dh37fgj492je
Key(Hawk Auth Key): werxhqb98rpaxn39848xrunpaw3489ruxnpa98w4rxn
Algorithm: hmac-sha-256

  4. 客户端通过计算时间戳来生成认证报头,并构造标准的请求字符串

    1353832234
GET
/resource/1?b=1&a=2
127.0.0.1
8000
some-app-data

  5. 使用Hawk凭证中的Algorithm指定的加密算法加上Key(Hawk Auth Key)指定的key进行加密,之后把结果在经过bae64转码为/uYWR6W5vTbY3WKUAN6fa+7p1t+1Yl6hFxKeMLfR6kk=

  6. 客户单在发送请求,在Authorization头字段包括Key identifier(Hawk Auth ID)指定的id,时间戳,以及加密生成的MAC

    GET /resource/1?b=1&a=2 HTTP/1.1
Host: 127.0.0.1:8000
Authorization: Hawk id="dh37fgj492je", ts="1353832234", ext="some-app-data", mac="/uYWR6W5vTbY3WKUAN6fa+7p1t+1Yl6hFxKeMLfR6kk="

  7. 服务端收到请求后再次按相同的算法计算出MAC,并验证Hawk凭证的有效性,如果验证通过就返回结果

这个认证的方式 npm中有包,里面有案例,可以查看一下hawk

官方详细文档

AWS Signature

AWS的使用者可以使用自定义的HTTP方案基于HMAC的加密算法去认证

参考文档

[http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html](http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html)
[http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-use-postman-to-call-api.html](http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-use-postman-to-call-api.html)

postman 的基础使用篇(一)
postman发送请求使用篇(二)
postman响应使用篇(三)
postman的代理使用篇(四)

图片描述

扫描关注,查看更多文章,提高编程能力

weixin_33713707
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
postman中测试https双向认证时,报错Error: Hostname/IP does not match certificate‘s altnames: IP: 192.168.64.180
十三阿哥的博客
08-01 2742
文章ssl单向证书和双向证书校验测试及搭建流程中,已经在浏览器中跑通基于https的双向认证了。。现在到postman中倒腾一下,,,结果发起https请求时,直接报错,,,, 后来经过抓包,,实际上client和server确实进行了证书校验。。 然后就完了,并没有数据的响应过程。。理论上来说,不应该,,这些配置呢也肯定没问题。。。后来去了官网查询蛛丝马迹。。。。postman官网-证书添加说明 OK,已经很明显了,,见下图。域名这块呢没有倒腾,,因为是就与局域网的。。 所以这块就先放着吧,,,等后面
postman两种登录验证
hanghXU的博客
03-28 705
.Net Core 6 web api jwt 一直 401 Postman返回WWW-Authenticate Bearer没有其他提示的解决方法
シ❤゛甜虾的个人博客
10-21 1694
需要添加app.UseAuthentication(); 一定要在app.UseAuthorization();前面,顺序反了都不行 app.UseAuthentication(); app.UseAuthorization(); 切记切记,写反了结果就是
springboot https_Https双向验证与Springboot整合测试-人来人往我只认你
weixin_39525307的博客
11-26 338
1 简介 不知不觉Https相关的文章已经写了6了,本文将是这个专题的最后一,起码近期是最后一。前面6讲的全都是单向的Https验证,本文将重点介绍一下双向验证。有兴趣的同学可以了解一下之前的文章: (0)Https专题 (1)Springboot整合https原来这么简单 (2)HTTPS之密钥知识与密钥工具Keytool和Keystore-Explorer (3)Springboot以...
[Postman]授权(11)
weixin_30257433的博客
04-11 369
授权过程将验证您是否有权从服务器访问所需的数据。发送请求时,通常必须包含参数以确保请求具有访问权限并返回所需数据。Postman提供的授权类型使您可以轻松处理Postman本机应用程序中的身份验证协议。 在请求构建器中选择“授权”时,您会看到TYPE下拉菜单。 从父级继承auth 没有Auth 持票人令牌 基本认证 摘要认证 OAuth 1.0 OAuth 2.0 H...
Postman for Mac
08-03
文章将详细介绍Postman for Mac版,帮助用户更好地理解和利用这个强大的工具。 首先,Postman for Mac是Postman平台在苹果操作系统上的版本,它提供了丰富的功能,让API测试变得简单而高效。无论是在开发过程中...
postman-newman:Api测试Todoist
05-04
文章将深入探讨如何使用Postman Newman进行Todoist API的测试。 Todoist是一款功能强大的任务管理应用,提供了丰富的API供开发者和自动化测试人员使用。通过API,我们可以创建、更新、读取和删除任务,实现自动...
Web 服务的创建和使用
07-05
文章将深入探讨Web服务的创建和使用,以及在开发过程中的一些关键知识点。 **1. Web服务标准和协议** Web服务的核心标准包括: - **SOAP(Simple Object Access Protocol)**:一种XML格式的消息传输协议,...
Udesk机器人API使用Demo
10-26
9. **测试与调试**:开发过程中,需要使用Postman等工具进行接口测试,确保请求和响应格式正确无误。 10. **集成与部署**:最后,将完成的代码集成到项目中,进行测试和部署,确保在实际环境中能正常工作。 在...
webapi新手
04-09
我们可以使用工具如Postman或curl来模拟HTTP请求,验证API的正确性和性能。同时,编写单元测试和集成测试可以确保代码的质量和稳定性。 综上所述,WebAPI新手涵盖了从基础概念到实践技巧的广泛内容。通过学习这个...
HTTPS双向验证
qq_40979609的博客
07-06 1623
HTTPS双向验证在实际项目中的应用目录HTTPS实际应用场景双向验证在Springboot中的配置证书简单介绍自签生成客户端服务端证书插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 目录 HTTPS实际应用场景 https双向验证原理,请自行查找,简单来说,服务端与客户端交互式时,要对客
Postman鉴权
热门推荐
程序员小刘
10-28 1万+
Ok, 今天我们来学习 一下 鉴权 鉴权(authentication) 是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。 为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证.
PostMan常用功能
wenxiaoba的博客
10-01 1977
postman的一些功能讲解
postman中如何使用OAuth
weixin_30679823的博客
02-19 792
https://learning.getpostman.com/docs/postman/sending_api_requests/authorization/ Authorization The authorization process verifies whether you have permission to access the data you want from the s...
解决Django后端401未授权错误:JWT与Postman的集成
最新发布
05-02 118
通过按照上述步骤设置Django和Postman,您应该能够解决Django后端401未授权错误,并通过Postman进行JWT身份验证。
3月6日Postman之Authorization使用
qiushiqiushi的博客
03-07 7038
Postman之Authorization使用
postman调试http接口挑战鉴权Authorization
qq_43228581的博客
07-16 3413
填写了正确的请求路径和json数据,但是还是报401权限错误!!!!! 解决办法: 报401说明没有权限,所以去Authorization中设置如图,输入自己的账号、密码,再一次send,此时仍旧是401错误,但是这时候请求头已经有数据返回,所以点【header】 【header】后,WWW-Authenticate键中的数据相对应的填到上面的 ADVANED中 如图是相对应填好的,然后再次【send】 此时【send】后就是返回执行成功 注意: ...
postman对字符串进行base64编码方法和变量的使用
lisheng19870305的专栏
05-05 7346
公司的项目是前后端分离的,后端开发的功能时,需要接受经过base64编码的字符串,并解码。 使用postman测试API接口时,遇到问题 一、如何对字符串进行base64编码 需要在页面的【Pre-request Script】选项页中,增加如下代码 const str_sql = CryptoJS.enc.Utf8.parse("select *from test") const base64_sql = CryptoJS.enc.Base64.stringify(str_sql) 二、
接口测试工具Postman(二)请求响应、调试、授权、Cookies和证书
zhuyunier的博客
02-20 5806
目录   一、Requests请求 二、Responses响应 三、API请求答疑解惑 四、调试和日志 四、授权 、Cookies 六、证书 一、Requests请求 1、创建请求 在Postman中可以通过以下三种方式创建和保存请求: 通过请求构造器创建请求; 通过New按钮创建请求; 通过启动页面创建请求。 2、URL 在URL输入字段中输入请求URL时,以前使...
使用PostMan测试OAuth2认证流程
"通过PostMan验证Oauth2认证过程,主要涉及微服务中的认证和鉴权,使用API网关和OAuth2授权服务实现安全校验。" 在微服务架构中,认证和鉴权是保障系统安全性的重要环节。Oauth2是一种广泛使用的授权框架,它允许第...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值