OAuth 2.0 All In One

授权类型

授权代码

隐式

密码凭证

客户端凭证

授权码

授权码授予类型要求用户向提供者进行身份验证-然后将授权码发送回客户端应用程序,提取并与提供者交换以获取访问令牌以认证后续请求。

要使用授权码授予类型,请输入客户端应用程序的回调URL(应在API提供商处注册),以及API服务提供的各种详细信息,包括Auth URL,访问令牌URL,Client ID和Client Secret。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

授权码(带PKCE)

您可以将PKCE(代码交换证明密钥)与OAuth 2.0结合使用。选择授权代码(使用PKCE)时,两个其他字段将变为“代码质询方法”和“代码验证者”可用。您可以选择使用SHA-256或Plain算法来生成代码挑战。验证程序是一个可选的43-128字符串,用于将授权请求连接到令牌请求。

建议将授权代码(带有PKCE)授予类型与使用浏览器进行授权一起使用,以防止身份验证代码拦截攻击。

隐含的

隐式授予类型立即将访问令牌返回到客户端,而无需执行额外的身份验证代码步骤(因此安全性较低)。

要将隐式授予类型用于Postman中的请求,请输入您已向API提供程序注册的回调URL,提供程序Auth URL以及已注册应用程序的客户端ID。

您可以通过选择使用浏览器授权,在网络浏览器中输入身份验证详细信息,而不是在Postman中输入身份验证详细信息。

密码凭证

OAuth 2.0密码授予类型涉及直接从客户端发送用户名和密码,因此,如果您要处理第三方数据,则不建议使用。

要使用密码授予类型,请输入API提供者的访问令牌URL以及用户名和密码。在某些情况下,您还需要提供客户端ID和密码。

客户凭证

客户端凭据授予类型通常不用于访问用户数据,而是用于与客户端应用程序关联的数据。

输入提供商的访问令牌URL以及您注册的应用程序的客户端ID和客户端密钥。

请求OAuth 2.0令牌

请求新访问令牌的参数的完整列表如下,具体取决于您的授予类型:

令牌名称:您要用于令牌的名称。

授予类型:选项的下拉列表-这将取决于API服务提供商的要求。

回调URL:身份验证后重定向到的客户端应用程序回调URL,应在API提供程序中注册。如果未提供,则Postman将使用默认的空URL并尝试从中提取代码或访问令牌-如果这不适用于您的API,则可以使用以下URL:

https://www.postman.com/oauth2/callback

使用浏览器进行授权:您可以选择在网络浏览器中输入凭据,而不是使用授权代码或隐式授予类型时默认情况下出现在Postman中的弹出窗口。选中此框会将回调URL设置为返回邮递员。

身份验证URL: API提供程序授权服务器的端点,用于检索身份验证代码。

访问令牌URL:提供商的身份验证服务器,用于交换访问令牌的授权代码。

客户端ID:您在API提供程序中注册的客户端应用程序的ID。

客户端机密: API提供商提供给您的客户端机密。

范围:您所请求的访问范围,其中可能包含多个以空格分隔的值。

状态:不透明的值,以防止跨站点请求伪造。

客户端身份验证:下拉列表-在标头中发送基本身份验证请求,或在请求正文中发送客户端凭据。升级到新版本后,请更改此下拉菜单中的值,以避免客户端身份验证出现问题。

配置完成后,点击请求令牌。

当您使用授权代码或隐式授予类型时,系统将提示您提供凭据以检索要在后续请求中使用的访问令牌。默认情况下,当您单击Request Token时,Postman将显示一个弹出浏览器。您也可以选择使用系统的默认Web浏览器进行身份验证。选择授权使用的浏览器和回调URL会自动填充,当你已经完成了在浏览器中AUTH返回邮差,让您的请求可以使用令牌在认证成功返回。

如果您成功地从API接收到令牌,则将看到其详细信息,到期时间以及可选的刷新令牌,当当前令牌过期时,可以使用该令牌来检索新的访问令牌。单击“使用令牌”以选择返回的值。

任何成功检索的令牌都将在请求“可用令牌”下拉列表中列出。选择一个与您的请求一起发送。在下拉列表中选择管理令牌以查看更多详细信息或删除您的令牌。

如果验证失败或超时,邮递员将显示错误消息。您可以在控制台中检查错误详细信息,重试尝试再次进行身份验证,或在继续之前编辑您的身份验证详细信息。

在Postman中删除令牌不会撤消访问权限。只有发出令牌的服务器才能撤销它。

refs

https://learning.postman.com/docs/sending-requests/authorization/#bearer-token

xgqfrms 2012-2020

www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!

OAuth 2.0 All In One的更多相关文章

  1. ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  2. 简述 OAuth 2.0 的运作流程

    本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程. 假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时 ...

  3. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  4. [转]An introduction to OAuth 2.0 using Facebook in ASP.NET Core

    本文转自:http://andrewlock.net/an-introduction-to-oauth-2-using-facebook-in-asp-net-core/ This is the ne ...

  5. [转]OAuth 2.0 - Authorization Code授权方式详解

    本文转自:http://www.cnblogs.com/highend/archive/2012/07/06/oautn2_authorization_code.html I:OAuth 2.0 开发 ...

  6. oAuth 2.0 笔记

    OAuth 2.0规范于2012年发布,很多大型互联网公司(比如:微信.微博.支付宝)对外提供的SDK中,授权部分基本上都是按这个规范来实现的. OAuth 2.0提供了4种基本的标准授权流程,最为复 ...

  7. 理解OAuth 2.0

    转自:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛 ...

  8. 谈谈基于OAuth 2.0的第三方认证 [下篇]

    从安全的角度来讲,<中篇>介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的 ...

  9. 谈谈基于OAuth 2.0的第三方认证 [中篇]

    虽然我们在<上篇>分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者 ...

  10. 谈谈基于OAuth 2.0的第三方认证 [上篇]

    对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成.具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份.但是这种由Web应用全权负 ...

随机推荐

  1. MySQL调优用户监控之show processlist

    简介 show processlist显示这台MySQL正在连接的用户: mysql> show processlist; +----+------+-----------+-------+-- ...

  2. [从源码学设计] Flume 之 memory channel

    [从源码学设计] Flume 之 memory channel 目录 [从源码学设计] Flume 之 memory channel 0x00 摘要 0x01 业务范畴 1.1 用途和特点 1.2 C ...

  3. 能够满足这样要求的哈希算法有很多,其中比较著名并且应用广泛的一个哈希算法,那就是MurmurHash 算法。尽管这个哈希算法在 2008 年才被发明出来,但现在它已经广泛应用到 Redis、MemCache、Cassandra、HBase、Lucene 等众多著名的软件中。

    能够满足这样要求的哈希算法有很多,其中比较著名并且应用广泛的一个哈希算法,那就是MurmurHash 算法.尽管这个哈希算法在 2008 年才被发明出来,但现在它已经广泛应用到 Redis.MemCa ...

  4. chm打开看不到内容时好时坏

    右击chm文件,属性====>解除锁定 再打开 ok

  5. Spring cloud-Bus (消息总线)

    <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring ...

  6. 自定义 ocelot 中间件输出自定义错误信息

    自定义 ocelot 中间件输出自定义错误信息 Intro ocelot 中默认的 Response 中间件在出错的时候只会设置 StatusCode 没有具体的信息,想要展示自己定义的错误信息的时候 ...

  7. C语言简介与第一个C语言程序

    一.C语言产生的背景 C语言的出现与操作系统Unix是分不开的.Unix是1969年由美国贝尔实验室的K. Thompson和D. M. Ritchie两人用汇编语言编写,它存在许多不足,因此,需要一 ...

  8. 一维二维Sparse Table

    写在前面: 记录了个人的学习过程,同时方便复习 Sparse Table 有些情况,需要反复读取某个指定范围内的值而不需要修改 逐个判断区间内的每个值显然太浪费时间 我们希望用空间换取时间 ST表就是 ...

  9. poj2362 Square

    Description Given a set of sticks of various lengths, is it possible to join them end-to-end to form ...

  10. Codeforces Round #531 (Div. 3) E. Monotonic Renumeration (构造)

    题意:给出一个长度为\(n\)的序列\(a\),根据\(a\)构造一个序列\(b\),要求: ​ 1.\(b_{1}=0\) ​ 2.对于\(i,j(i\le i,j \le n)\),若\(a_{i ...