Postman – 授权

Postman是一款强大的API测试工具，它可以跨平台调试和测试API，支持多种协议和数据类型。在实际运用中，API的授权验证是非常重要的一环，只有通过授权验证的请求才能获得正确的数据响应。本文将介绍如何在Postman中进行API授权验证。

基础认证

基础认证是最常用的一种认证方式，它将用户的用户名和密码以Base64编码的方式传输到API服务器。下面是一个基础认证的示例代码：

GET /api/v1/users HTTP/1.1
Host: example.com
Authorization: Basic dXNlcjpwYXNz

其中，Authorization头部字段的值是 “Basic ” 加上用户的用户名和密码Base64编码后的字符串。这个字符串可以通过Postman自动生成，只需在Authorization面板中选择Basic Auth，并输入用户名和密码即可。

OAuth 2.0认证

OAuth 2.0是一种流行的授权框架，它允许第三方应用程序访问用户的API服务。在OAuth 2.0中，用户将授权给客户端（第三方应用程序），客户端使用授权码或令牌进行API请求。下面是OAuth 2.0的认证流程：

用户在客户端中请求授权
客户端将用户重定向到授权服务器
用户同意授权，并授予客户端访问API的权限
授权服务器将授权码发送给客户端
客户端使用授权码向令牌服务器请求令牌
令牌服务器发送访问令牌给客户端
客户端使用访问令牌调用API

在Postman中使用OAuth 2.0认证，需要先在OAuth 2.0面板中配置认证流程的详细信息，包括授权服务器URL、客户端ID、客户端密钥、授权范围等。下面是一个简单的OAuth 2.0示例：

GET /api/v1/users/me HTTP/1.1
Host: example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

其中，Authorization头部字段的值是 “Bearer ” 加上访问令牌。在Postman中使用OAuth 2.0认证的具体步骤如下图所示：

Digest认证

Digest认证是一种基于摘要的认证方式，它将用户的用户名和密码以哈希的方式传输到API服务器。在Digest认证中，用户密码不会以明文的方式传输，因此比基础认证更加安全。下面是一个Digest认证的示例代码：

GET /api/v1/users HTTP/1.1
Host: example.com
Authorization: Digest username="user", realm="example.com", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", uri="/api/v1/users", response="2a28fd";algorithm=MD5, qop=auth, nc=00000001, cnonce="0a4f113b"

其中，Authorization头部字段的值包含了多个键值对，分别是用户名、领域名称、随机数、请求URI、响应哈希、哈希算法、保护质量、计数器、客户端随机数。这些值需要根据API服务器提供的规则进行哈希，并按照指定格式拼接在一起，才能生成正确的响应哈希值。如果API服务器使用的是Digest认证，Postman会自动添加Digest认证面板，用户只需输入用户名和密码即可。