OAuth 2.0 All In One

授权类型

授权代码

隐式

密码凭证

客户端凭证

授权码

授权码授予类型要求用户向提供者进行身份验证-然后将授权码发送回客户端应用程序,提取并与提供者交换以获取访问令牌以认证后续请求。

要使用授权码授予类型,请输入客户端应用程序的回调URL(应在API提供商处注册),以及API服务提供的各种详细信息,包括Auth URL,访问令牌URL,Client ID和Client Secret。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

授权码(带PKCE)

您可以将PKCE(代码交换证明密钥)与OAuth 2.0结合使用。选择授权代码(使用PKCE)时,两个其他字段将变为“代码质询方法”和“代码验证者”可用。您可以选择使用SHA-256或Plain算法来生成代码挑战。验证程序是一个可选的43-128字符串,用于将授权请求连接到令牌请求。

建议将授权代码(带有PKCE)授予类型与使用浏览器进行授权一起使用,以防止身份验证代码拦截攻击。

隐含的

隐式授予类型立即将访问令牌返回到客户端,而无需执行额外的身份验证代码步骤(因此安全性较低)。

要将隐式授予类型用于Postman中的请求,请输入您已向API提供程序注册的回调URL,提供程序Auth URL以及已注册应用程序的客户端ID。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

密码凭证

OAuth 2.0密码授予类型涉及直接从客户端发送用户名和密码,因此,如果您要处理第三方数据,则不建议使用。

要使用密码授予类型,请输入API提供者的访问令牌URL以及用户名和密码。在某些情况下,您还需要提供客户端ID和密码。

客户凭证

客户端凭据授予类型通常不用于访问用户数据,而是用于与客户端应用程序关联的数据。

输入提供商的访问令牌URL以及您注册的应用程序的客户端ID和客户端密钥。

请求OAuth 2.0令牌

请求新访问令牌的参数的完整列表如下,具体取决于您的授予类型:

令牌名称:您要用于令牌的名称。

授予类型:选项的下拉列表-这将取决于API服务提供商的要求。

回调URL:身份验证后重定向到的客户端应用程序回调URL,应在API提供程序中注册。如果未提供,则Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果这不适用于您的API,则可以使用以下URL:

https://www.postman.com/oauth2/callback

使用浏览器进行授权:您可以选择在网络浏览器中输入凭据,而不是使用授权代码或隐式授予类型时默认情况下出现在Postman中的弹出窗口。选中此框会将回调URL设置为返回邮递员。

身份验证URL: API提供程序授权服务器的端点,用于检索身份验证代码。

访问令牌URL:提供商的身份验证服务器,用于交换访问令牌的授权代码。

客户端ID:您在API提供程序中注册的客户端应用程序的ID。

客户端机密: API提供商提供给您的客户端机密。

范围:您所请求的访问范围,其中可能包含多个以空格分隔的值。

状态:不透明的值,以防止跨站点请求伪造。

客户端身份验证:下拉列表-在标头中发送基本身份验证请求,或在请求正文中发送客户端凭据。升级到新版本后,请更改此下拉菜单中的值,以避免客户端身份验证出现问题。

配置完成后,点击请求令牌。

当您使用授权代码或隐式授予类型时,系统将提示您提供凭据以检索要在后续请求中使用的访问令牌。默认情况下,当您单击Request Token时,Postman将显示一个弹出浏览器。您也可以选择使用系统的默认Web浏览器进行身份验证。选择授权使用的浏览器和回调URL会自动填充,当你已经完成了在浏览器中AUTH返回邮差,让您的请求可以使用令牌在认证成功返回。

如果您成功地从API接收到令牌,则将看到其详细信息,到期时间以及可选的刷新令牌,当当前令牌过期时,可以使用该令牌来检索新的访问令牌。单击“使用令牌”以选择返回的值。

任何成功检索的令牌都将在请求“可用令牌”下拉列表中列出。选择一个与您的请求一起发送。在下拉列表中选择管理令牌以查看更多详细信息或删除您的令牌。

如果验证失败或超时,邮递员将显示错误消息。您可以在控制台中检查错误详细信息,重试尝试再次进行身份验证,或在继续之前编辑您的身份验证详细信息。

在Postman中删除令牌不会撤消访问权限。只有发出令牌的服务器才能撤销它。

refs

https://learning.postman.com/docs/sending-requests/authorization/#bearer-token

xgqfrms 2012-2020

www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!

OAuth 2.0 All In One的更多相关文章

  1. ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  2. 简述 OAuth 2.0 的运作流程

    本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程. 假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时 ...

  3. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  4. [转]An introduction to OAuth 2.0 using Facebook in ASP.NET Core

    本文转自:http://andrewlock.net/an-introduction-to-oauth-2-using-facebook-in-asp-net-core/ This is the ne ...

  5. [转]OAuth 2.0 - Authorization Code授权方式详解

    本文转自:http://www.cnblogs.com/highend/archive/2012/07/06/oautn2_authorization_code.html I:OAuth 2.0 开发 ...

  6. oAuth 2.0 笔记

    OAuth 2.0规范于2012年发布,很多大型互联网公司(比如:微信.微博.支付宝)对外提供的SDK中,授权部分基本上都是按这个规范来实现的. OAuth 2.0提供了4种基本的标准授权流程,最为复 ...

  7. 理解OAuth 2.0

    转自:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛 ...

  8. 谈谈基于OAuth 2.0的第三方认证 [下篇]

    从安全的角度来讲,<中篇>介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的 ...

  9. 谈谈基于OAuth 2.0的第三方认证 [中篇]

    虽然我们在<上篇>分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者 ...

  10. 谈谈基于OAuth 2.0的第三方认证 [上篇]

    对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成.具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份.但是这种由Web应用全权负 ...

随机推荐

  1. ValueError: the environment variable is longer than 32767 characters On Windows, an environment variable string ("name=value" string) is limited to 32,767 characters

    https://github.com/python/cpython/blob/aa1b8a168d8b8dc1dfc426364b7b664501302958/Lib/test/test_os.py ...

  2. 干货 | 携程多语言平台-Shark系统的高可用演进之路

    https://mp.weixin.qq.com/s/cycZslUlfyVNm2GVrZm1Cw 干货 | 携程多语言平台-Shark系统的高可用演进之路 原创 Fenlon 携程技术 2020-1 ...

  3. (Oracle)数据量统计存储过程

    本过程适用于Oracle数据量统计. create or replace procedure SP_GET_TAB_COUNT as v_tableName HDSD_TJ.Tablename%typ ...

  4. High Performance Networking in Google Chrome 进程间通讯(IPC) 多进程资源加载

    小结: 1. 小文件存储于一个文件中: 在内部,磁盘缓存(disk cache)实现了它自己的一组数据结构, 它们被存储在一个单独的缓存目录里.其中有索引文件(在浏览器启动时加载到内存中),数据文件( ...

  5. pycharm创建文件夹以及查看源文件存放位置(FOR MAC)

    1.首先我们打开pycharm软件,一般首次打开界面如下 2.我们点击creat new project,点击后效果如下,此时创建相应的文件夹 3.创建完成后如下,并可以查看存放文件夹的位置 4.完成 ...

  6. 我的刷题单(8/37)(dalao珂来享受切题的快感

    P2324 [SCOI2005]骑士精神 CF724B Batch Sort CF460C Present CF482A Diverse Permutation CF425A Sereja and S ...

  7. 哈希索引和Btree索引的比较

    索引是帮助mysql获取数据的数据结构.最常见的索引是Btree索引和Hash索引. 不同的引擎对于索引有不同的支持:Innodb和MyISAM默认的索引是Btree索引:而Mermory默认的索引是 ...

  8. Javascript 基础知识整理

    Javascript的作用 表单验证,减轻服务器压力 添加页面动画效果 动态更改页面内容 Ajax网络请求(异步加载数据) -它属于前端的核心,主要用来控制和重新调整DOM,通过修改DOM结构,从而达 ...

  9. Cisco WS-C4503-E CPU使用率高问题排查

    现状描述: 办公网环境下由2台VSS模式下WS-C4503-E 作为核心交换机,下接若干台WS-C2960X-48LPS-L作为接入.行政同事在进行工位改造的时候为方便将原工位网线下联若干台hub. ...

  10. 免费开源的代码审计工具 Gosec 入门使用

    声明: 本教程是在自己的电脑上本地测试Gosec的效果,所以不涉及其他运行模式,如果想要了解其他模式可以关注后期文档,如果想要自定义交流自定义代码扫描规则,可以跟我交流沟通. 背景: Gosec是一个 ...